CYBERSECURITY SNAPSHOT: 給与動向、ランサムウェアサミット、次世代 MFA

CISO とサイバーセキュリティ担当者の賃金動向、CISA によるフィッシング耐性 MFA の導入要請、ホワイトハウス主催のランサムウェアサミット、などのトピックの最新情報をお届けします。

11 月 4 日までの1 週間の 6 つの最重要トピックについて詳しくお伝えします。

1 – CISO が雇用主に 「給与アップ」を要求

米国とカナダにおける今年の CISO の報酬は、2021 年と比較して上昇しています。その理由は、サイバーセキュリティ関連の職務に適格な候補者が不足する中で、雇用主がその責任者をつなぎ留めるために高額の報酬を支払ったためです。

上記の内容は IANS Research and Artico Search の 2022 CISO Compensation Benchmark Report (CISO 報酬ベンチマークレポート 2022 年)に基づくもので、500 人以上の CISO を対象に調査を実施した結果、総報酬額は前年比で 15% 増加し 495,000 ドルとなったことが明らかになっています。

現在、企業が CISO を囲い込むのは非常に困難なことなのでしょうか? この調査について解説したブログ投稿によると、回答者の 42% は今後 12 か月以内の転職を積極的に検討していると回答し、24% は転職を検討する「可能性がある」と回答しました。

^{(ソース: IANS Research and Artico Search「2022 CISO Compensation Benchmark Report」(2022 年 10 月))}

もっと良い職場を探す CISO を誰が責められるでしょうか。 このレポートによると、転職した回答者の給与、従業員持株、ボーナスを含む総報酬は平均で 37% も上昇したのに対し、現職に残った回答者の総報酬は平均で 9% の上昇にとどまっています。

「情報に精通している CISO であれば、サードパーティによるデータを人事チームに提示して、広大な市場における競合他社の状況を知らしめることによって、自身が報酬アップという市場の流れに取り残されている現状を打破することは可能です」と Artico Search の共同設立者であり代表取締役でもある Matt Comyns 氏はブログ記事で述べています。

^{(ソース: IANS Research and Artico Search「2022 CISO Compensation Benchmark Report」(2022 年 10 月))}

詳細情報

• Executive Recruiters Scrambling to Find Cybersecurity Leaders (Hunt Scanlon Media)
• 64% of CISOs hired from outside, highlighting retention issues (Venturebeat)
• How To Handle Today’s High CISO Turnover (Chief Executive)
• 7 CISO succession planning best practices (TechTarget)
• Why You Need A Cloud-Savvy CISO — And How To Find One (Forbes)

2 – サイバーセキュリティ担当者の給与も人材不足の恩恵を受ける

また、サイバーセキュリティ分野の人材不足の恩恵を受けているのは CISO だけではありません。 サイバーセキュリティ担当者は、概して昇給、職能開発の機会、さらにはリモートワークやフレックスタイム制などの優遇を受けています。

米国のテクノロジー人材採用マネージャー 230 人以上を対象にした Robert Half の調査によると、回答者のほぼ 3 分の 1 がサイバーセキュリティ専門家の獲得が最重要課題であると述べています。また、サイバーセキュリティ人材の獲得競争のために今よりも高い給与を準備する用意があるという回答が 33% を占めました。

人材コンサルティング会社によると、現在需要が高い 5 つの IT セキュリティ関連の職種は、システムセキュリティ管理者、ネットワークセキュリティエンジニア、システムセキュリティマネージャー、データセキュリティアナリスト、IT 監査員です。

Robert Half の「2023 Salary Guide」によると、米国でのこうした「注目度の高い」サイバーセキュリティ職の平均初任給は次のようになっています。

^{(ソース: Robert Half「2023 Salary Guide」(2022 年 10 月))}

実際、データセキュリティアナリスト職は米国の雇用市場全体で最も注目度の高い 12 の職種にランクインしています。ランキングのリストには弁護士、クラウドエンジニア、UX デザイナー、会計監査役、企業内会計士も含まれています。

採用マネージャーは、どうしたらサイバーセキュリティ専門家の採用方法を改善できるのでしょうか? Robert Half は、その秘訣について次のように述べています。 「求人情報には、必要なスキルや資格の一覧を長々と書き連ねないように。優秀である可能性の高い志願者からの応募を遠ざける一因となるからです。 学習意欲、優れた時間管理能力、意欲、決断力などのソフトスキルがあれば、仕事を通じた人材育成は可能です」

詳細情報

• Hiring and retention challenges in cyber security persist (ComputerWeekly)
• Securing your organization by recruiting, hiring, and retaining cybersecurity talent (McKinsey)
• 4 strategy game-changers for finding cybersecurity talent (CSO Online)
• 90% of Security Leaders Warn of Skills Shortage (Infosecurity Magazine)
• Government CISOs making gains, but talent gap persists, survey finds (StateScoop)

3 – CISA が次世代 MFA を喧伝

米国サイバーセキュリティ インフラストラクチャセキュリティ庁 (CISA) は今週、すべての企業に「フィッシング耐性」のある多要素認証 (MFA) を導入するよう要請しました。ハッカーが従来の MFA 保護方式をすり抜ける手口を巧妙化し続けているためです。

CISA は、FIDO アライアンスとワールドワイドウェブコンソーシアム (W3C) との協力により策定されたウェブベースの API である FIDO/WebAuthn 認証の導入を推奨しています。 

これは最も広く導入されている「抗フィッシング」MFA 方式であり、主要なブラウザ、オペレーティングシステム、スマートフォンなどで幅広くサポートされているものであると、CISA は新しいファクトシートで述べています。同ファクトシートでは、あまり利用されていない公開鍵インフラ (PKI) 方式についても詳述されています。

CISA は、モバイルデバイスへのプッシュ通知を利用して従来の MFA 方式のセキュリティを強化する方法に重点を置いた関連ファクトシートも公開しました。

詳細については、以下をご参照ください。

• What is Phishing Resistant MFA? (SANS Institute)
• Next Level MFA: FIDO Authentication (CISA)
• What is phishing-resistant multifactor authentication? It’s complicated. (Cybersecurity Dive)
• CISA Publishes MFA Guidelines to Tackle Phishing (Infosecurity Magazine)

CISA によるこちらの動画もご覧ください。

4 – ホワイトハウスが世界的なランサムウェア対策サミットを主催

ホワイトハウスは今週、ランサムウェアが世界中にもたらす危険性を訴えようと、こうした有害なサイバー脅威からの防衛を全世界で強化していくことを目的とした第 2 回目の国際サミットを開催しました。

第 2 回国際ランサムウェア対策イニシアチブ (CRI) サミットには 36 か国の代表者が参加し、来年中に以下を含めたいくつかの措置を講じることに共同で合意しました。

• 国際ランサムウェア対策タスクフォース (ICRTF) を立ち上げ、オーストラリア主導でランサムウェアグループによる違法な資金調達行為の排除に注力する。
• 地域サイバー防衛センター (RCDC) で「フュージョン・セル」を作成し、リトアニア主導でランサムウェアの傾向と緩和手段に関するレポートを公開していく。 
• インシデントへの対応とランサムウェア活動の阻止にあたっての戦略と、主要なランサムウェア攻撃者のプレイブックに関する詳細情報が組み込まれた「調査用ツールキット」を提供する。
• 情報を共有し、活動を連携させることで、民間セクターと絶えず積極的に歩調を合わせていく。
• 「警告と緩和の方策」として、主要なランサムウェア攻撃者に対する戦術、テクニック、対応手順の概要をまとめる。

詳細については、参加国の共同声明と、米国 国家安全保障担当補佐官 Jake Sullivan 氏による閉会の辞をお読みください。2 日間のサミットからのビデオ録画もこちらからご覧いただけます。

5 – 英国のサイバーセキュリティ機関が上位の脅威を特定

一方、英国では、国家サイバーセキュリティセンター (NCSC) が年次レポートの中で、ランサムウェア、サプライチェーンのセキュリティ、単純なサイバー攻撃、国家支援による脅威について強調しました。

当機関の CEO である Lindy Cameron 氏によると、サイバー脅威が多発する中で、英国のサイバーセキュリティ環境における最大の変化がロシアのウクライナ侵攻を機に生じ、NCSC ではそれに伴って英国の「社会全体」のサイバーレジリエンスを強化する「多大な努力」への取り組みが促されたとのことです。

2022 年 8 月 31 日までの 12 か月間を対象としたレポートで NCSC が強調した課題の詳細は次のとおりです。

• Cameron 氏が英国のビジネスや企業にとって「最も深刻な脅威」と呼んだ、ランサムウェア
• フィッシングやその他のサイバー詐欺のような、巧妙ではないが膨大な数の「コモディティ (身近なツールを使った)」サイバー犯罪
• サイバー犯罪に使用される高性能なツールや機能が以前より広く普及し、容易にアクセスできるようになっていること
• 攻撃者が正規のソフトウェアリリースチャネルに不正アクセスして悪意のあるコードを密かに配信することによる、ソフトウェアサプライチェーンに対する脅威
• ロシア、イラン、北朝鮮、中国などの国家アクターからのサイバースパイ行為、破壊的なサイバー攻撃、知的財産の盗難、政治介入

また、英国に影響を及ぼしている主なサイバー脅威に対処するために NCSC がこの 12 か月間で行った活動のいくつかを以下にご紹介します。 

^{(ソース: 英国 国家サイバーセキュリティセンター「2022 Annual Review」(2022 年 10 月))}

詳細については、エグゼクティブサマリーまたはレポートの全文をご一読ください。同じ内容は Cameron 氏の動画でもご覧いただけます。

6 – サンタンデール銀行が英国での「プッシュペイメント」詐欺に注目

英国にあるサンタンデール銀行の完全子会社は、同国内でのいわゆる「オーソライズドプッシュペイメント (APP)」詐欺の急増に危機感を抱き、この問題への対策に関する詳細な提案を発表しました。

^{(提供: 英国サンタンデール銀行)}

顧客が騙されて支払いを承認してしまう APP 詐欺への対策として、英国サンタンデール銀行は以下のような推奨事項を提示しています。

• 新たなデータ共有基準を使用して、取引関連のデータポイントをさらに追加で取り込むことで、詐欺の兆候をとらえる銀行の機能を強化する
• すべての決済サービスプロバイダーが一連の標準的な詐欺対策規則を遵守するよう要請する
• 取引に対し、その重要度に応じてさまざまなレベルの精査を実施する
• 通信事業者やソーシャルメディア企業といった、犯罪者が被害者への接触に利用する企業に対し、自社のプラットフォームやネットワークの監視体制を改善するよう要請する

APP 詐欺の詳細については、以下をご覧ください。

• Authorized Push Payments Surge to 75% of Banking Fraud (Infosecurity Magazine)
• APP Fraud Is Fastest Growing Scam for One Good Reason (PYMNTS)
• What are Authorised Push Payment scams? (U.K. Payment Systems Regulator)
• Congress Drills Bank Brass on Authorized Push Payments Fraud (PYMNTS)
• Banks must do more to protect customers from APP scams (This Is Money)