2024年サイバーセキュリティ ステータスレポート |
変曲点
サイバーセキュリティは、それに値する注目を浴びるようになったとはいえ、データのサイロ化を解消するために技術の肥大化を軽減しなければならないという大きな課題が未だに残っています。 これを行うにはCIOとCISOとのより緊密な協調が必要となるでしょう。
変曲点
サイバーセキュリティは、それに値する注目を浴びるようになったとはいえ、データのサイロ化を解消するために技術の肥大化を軽減しなければならないという大きな課題が未だに残っています。 これを行うにはCIOとCISOとのより緊密な協調が必要となるでしょう。
Ivantiが、7000人以上の経営幹部、ITおよびサイバーセキュリティの専門家、従業員を対象に実施した最新の調査では、サイバーセキュリティは、取締役レベルにおいてでさえも、組織における最優先事項として広く認知されているとの結果が出ました。
さらに、セキュリティへの備えは全体的に向上しています。57%が、1年前と比較し、サイバー攻撃に対する更なる防御の準備が整っていると回答しています。
もう一つの明るい兆候は: Ivantiの調査は、経営陣はサイバーセキュリティ対策の成果を得るために益々多くの投資をしていることを示しています。これらの調査対象となった企業の少なくとも80%が、自社の経営幹部にはセキュリティの専門知識を持つ人物が含まれていると回答し、86%が経営幹部レベルでセキュリティの専門知識を持つ人物が議論していると回答しています。
サイバーセキュリティは単なる技術的なリスクではなくビジネスにおける重大リスクとなるため、このように経営陣が関心を寄せることが非常に重要です。そうすることで、サプライチェーンの再構築や買収の精査から新しい市場への参入するかどうかの検討に至るまで、サイバーセキュリティは経営幹部レベルの幅広い戦略的意思決定において重要な考慮項目となります。
MITスローンマネージメントレビューに掲載された最近のレポートでは、この見解を強調しています。「ビジネスリスクと絡み合った複雑で進化し続けるサイバーセキュリティのリスクには、注意深く監視できるような、ビジネスとテクノロジーに関する深い見識と経験を備えた取締役が最低1人は必要です。」
サイバーセキュリティは単なる技術的なリスクではなく。ビジネスにおける重大リスクとなるため、このように経営陣が関心を寄せることが非常に重要です。
経営幹部による関心については明るい兆候が見られますが、私たちは「サポートがどの程度浸透しているのか?」と疑問を抱いています。
当社は、経営幹部とセキュリティ/IT専門家の両者に対し、組織の経営幹部らがサイバーセキュリティにおける重要な概念をどの程度理解しているのか尋ねました。結局のところ、重要な用語の理解にはばらつきが見られ、経営幹部がどの程度この問題を引き受け姿勢を見せているかによるからです。
経営幹部が脆弱性管理(45%)やゼロトラスト(44%)といった用語をしっかりと理解していると答えた企業は、半分以下に留まりました。サイバーセキュリティプログラムの成熟度がより劣る組織では、経営幹部がこれらの概念を理解していると回答したのは24-26%に留まりました。 (サイバーセキュリティ成熟度の尺度については第3セクションで説明しています。)
また、Ivanti の調査は、CIO と CISO の間の連携が不十分であるという、進行中の (そしてコストのかかる) 摩擦点を浮き彫りにしています。そして、これは経営陣だけの問題ではありません
調査対象となった専門家の少なくとも72%が、自社組織内においてITとセキュリティデータがサイロ化されていると報告しています。 また、41%がITチームとセキュリティチームが協力してサイバーセキュリティを管理するのに苦労していると回答しています。
データは、長年にわたって維持されてきた体系的なテクノロジーとデータのサイロがリスクを高め、変革を遅らせていることを示しています。
これらの長年にわたる体系的なテクノロジーとデータのサイロ化はリスクを高め、変革を遅らせます。IT及びセキュリティの専門家の約3分の2(63%)は、データのサイロ化によりセキュリティのレスポンスタイムを遅らせるとし、54%がデータのサイロ化により組織のセキュリティ体制が弱体化していると回答しています。
データのサイロ化は、データのアクセスと可視性の欠如により、AIや自動化に対する投資が不十分になることにもなり得ります。
先進的なAIソリューションには、トレーニング及びオペレーションのために大量の高品質データが必要となります。多くの組織においてITとセキュリティチームの間にみられるように、テクノロジーやデータが著しくサイロ化されている場合は、次世代AIアプリケーションを導入当初から活用できないようなものとなってしまいます。AIの潜在能力を最大限活用するのが遅れると、企業のセキュリティ体制とビジネス上にとって長期的な影響が及ぶことも考えられます。
サイバーセキュリティを経営幹部の戦略的パートナーと位置付けたいならば、テクノロジーおよび企業文化の両面から、これらのバリアを取り払わなければなりません。
多くの組織においてITとセキュリティチームの間にみられるように、テクノロジーやデータが著しくサイロ化されている場合は、次世代AIアプリケーションを導入当初から活用できないようなものとなってしまいます。
01
これまでの組織は、AI に対して分散的なアプローチをとっています。ほとんどの企業は、AI が組織にリスクをもたらすことを理解していますが、AI の脅威に対応する戦略を持っていない企業が多いです。それを変える時が来ました。
先進的なAIはサイバーセキュリティチームの力となる可能性を秘めていますが、それが攻撃者よって悪用された場合には、チームの武装を解除する可能性もあります。
先ず、ポジティブな点です。 サイバーAIは、次のように組織を保護します。
しかし、サイバー AI は組織をより大きなリスクにさらす可能性もあります。たとえば、多くの組織は AI と自動化を使用して、機械的で反復的なタスクを引き継ぎ、作業負荷を削減しています。しかし、十分な考慮が払われていないと、これらの変化は、誤った安全意識や監視の低下によって、社内の満足感につながる可能性があります。
そして、悪意を持った者がAIの力を利用して、さらに深刻な結果を招きかねません。
こうしたリスクにもかかわらず、IT およびセキュリティの専門家は、AI がセキュリティに与える影響についてはおおむね楽観的です。ほぼ半数 (46%) が、それが正味プラスであると信じており、さらに 44% が、その影響は「中立」 (プラスでもマイナスでもない) であると信じています。
楽観的な見方はさておき、私たちが知りたかったのは、IT およびセキュリティの専門家が最大の脅威となると考えている AI を活用した攻撃の種類は何でしょうか? 最も危険なものの中には、敵対的生成ネットワーク、スプーフィング、および改ざんがあると専門家は言います。
サードパーティベンダーも、AIを活用した攻撃の高リスクな侵入リポイントとなっており、調査対象の組織の半分以上(53%)が、生成AIに関連したリスクに関してサードパーティベンダーを監査していないことが示されています。
脅威が増大しているにもかかわらず、ほぼ3人に1人は、AIの生成リスクに対処するための文書化された戦略を策定していません。
AIを活用した脅威に対する唯一の答えはありません。これまでトレーニングがフィッシング攻撃に対する防御の第一線であったにもかかわらず、ディープフェイクなどの AIを活用したソーシャル エンジニアリング攻撃から身を守るためにトレーニングが「非常に効果的」であると考えていると答えた人はわずか32%でした。 (従業員を対象とした当社の調査では、54%が高度なAIがどんな人の声でも真似できるというとを認識していなかったことがわかりました。)
次世代AIがセキュリティ環境を急速に再構築させるということは、重要な部分をヒトの検出に依存する方法は常に不十分であることを意味します。
組織は、今いる従業員への教育やトレーニングを、AIを活用したセキュリティツールの高度な警戒と組み合わせる必要があります。マンパワーグループのチーフ・イノベーションオフィサーであるトマス・シャモッロ-プレムジック氏は、ハーバード・ビジネス・レビュー誌上で同様のアドバイスをしています。:「ビジネスを攻撃から守るためにヒトかAIのどちらを信用すべきかということを問題にしているのではなく、他社よりも脆弱でないように技術革新とヒトの専門性の両方を活かすためのマネージメントを考える企業風土が必要です。」
AIを活用した脅威に対する多層階アプローチで、組織はオペレーションの改善とテクノロジー主導の防御戦術の両方を最適化する必要があります。これらには以下が含まれます。
サイバーAIのガバナンスと監視
サイバーAIの防御と障壁
02
セキュリティチームは、従業員が仕事で個人用のデバイスの使用(BYOD(bring your own device))をしていることを把握していると述べました。 Ivantiの調査は別のことを示唆するものです。
当社の調査では — 許可の有無を問わず、BYODは高い割合を示しています。
ITおよびセキュリティの専門家によると、世界中の組織の84%でBYODが実践されていますが、許可している組織はわずか52%です。許可をしていない組織においても個人用デバイスの使用率は高くなっています。78%の組織は、たとえ禁止されている場合でも、従業員が職場で個人端末を使っていると回答しています。
BYODを許可する、または黙って容認することは、必ずしもそれを追跡し管理することにつながるわけではありません。実際、明示的に BYODを許可しているか、単に見て見ぬふりをしている組織の1/3以上が、BYODを追跡していないか、追跡しているかどうか確信が持てません。これは、BYODによるリスクが中程度か高いという広く認識されているにもかかわらずです。
従業員は、問題が広範囲に広がっていることを認めています。 従業員の81%が、仕事に何らかの個人用デバイスを使っていることを認めています。そのうち半数は、個人用デバイスでネットワークにログインし作業しています。そして、40%は、会社は従業員が何をしているかを知らないと答えています。
従業員は、主に個人用端末のUXと信頼性を好み、会社が携帯電話を提供しないため、私物を使っていると答えています。
多くの組織では、BYODを許可するために意識的なトレードオフを行っています。これは、ネットワークにアクセスする個人用デバイスの可視性と制御を向上させる代わりに、多少の追加リスクを受け入れることです。米国連邦政府内の一部の政府機関でも、限られた状況で従業員が個人用デバイスを持ち込むことを許可しており、米国国立標準技術研究所(NIST)は2016年にBYODに関し発行したテレワーク及びBYODのセキュリティに関するユーザーズガイドの中でガイドラインとベストプラクティスを公開しています。
問題の一部は、多くの IT チームとサイバーセキュリティ チームが現在、職場で従業員の個人用デバイスを追跡および管理する効果的な方法を持っていないことです。会社が所有するIT資産と並行してBYODが追跡できている組織はわずか63%です。
会社は、BYODを禁止することに躊躇しています。なぜなら、禁止するとシャドーBYODの割合が増えると考えているからです。解決策は、BYOD の可視性と制御を向上させ、それに伴うリスクを最小限に抑えることにあります。
従業員の個人用デバイスを管理する機能を含む統合エンドポイント管理 (UEM) を使用することにより、企業はパスワードの強化、システム アクセスプロトコル (最低限必要なアクセス) の設定、データ管理ソフトウェアの要求、更新の強制などの作業を行うことができます。最悪の場合のシナリオ、強制ロックアウトおよびパージです。また、UEMソリューションを使用すると、企業は従業員の携帯電話やラップトップを分割して個人データを仕事のデータから分離できるため、この種のパージは個人データではなく仕事の成果物にのみに影響を与えます。
03
今後、最良のサイバーセキュリティ組織を運営するためには、何が必要でしょうか? サイバーセキュリティの将来に備えるためにCISOは具体的にどのようなステップを踏むべきでしょうか?
この調査では、サイバーセキュリティ成熟度スケールを作成するために、サイバーセキュリティの分野で働く調査対象者に、組織のサイバーセキュリティへの備えのレベルを基本 (レベル 1) からクラス最高 (レベル 4) まで評価してもらいました。
そして、調査した最も先進的な組織であるレベル 4 組織の実践と行動について詳しく知るために、これらのコホートを比較しました。(以下参照)
先進的な組織(例えばレベル4)は、経営幹部から非常に強い賛同を得ています。80%が、組織の経営幹部は非常に協力的であり、サイバーセキュリティのミッションに投資していると回答しています。これは、成熟度の低い組織の2倍以上です。
レベル4の組織の経営陣は、脆弱性管理やゼロトラストなどの複雑なトピックなど、主要なセキュリティ概念を理解しています。実際、彼らはレベル 2 と比較してこれらの用語を理解している可能性が少なくとも 2.5 倍高いです。これは彼らが熱心で、情報を得ており、認識していることを意味します。
先進的な組織におけるCISOは、CIOに対し報告する(40%)よりも直接CEOに報告する(51%)ことが多いようです。このコホート以外では、CISO は CIO に直属することが多くなります。報告構造に対する唯一の答えはありませんが、CISOは経営幹部と過ごす時間があり、組織戦略やリスク許容度に関する会話に加わる可能性が高いからです。
先進的な組織は、ソフトウェア サプライ チェーン全体のリスクを調査し、特定しています。レベル 4 の73%は、サプライチェーン内で最も脆弱な (侵害された場合に組織に最大の影響を与える) サードパーティのシステム/コンポーネントを特定したと回答しています。これは、成熟度の低い組織のほぼ3倍です。
先進的な組織は、サイバー AIがもたらす脅威に対処する方法と資産として活用する方法の両方について、明確なサイバーAI戦略を持っています。AIの悪影響について他の人よりも懸念しているにもかかわらず、レベル2の28%と比較して、61%はAIがセキュリティにとって正味プラスであると考えています。
レベル4の組織のうちの80%は、生成AIの脆弱性とリスクに対処するために文書化された戦略があると回答しています。(これに比較すると、レベル2では48%)また、レベル4には、エンドポイント管理、検出と対応からモバイル脅威防御、フィッシング対策トレーニングまで、AIを活用した脅威から守るためのより多くの保護層が設けられています。
可視化も管理もされていないBYODは、先進的な組織においても問題になります。そうです。レベル4の組織は、調査対象となった他の組織よりもBYODを許可および管理している傾向が高いとはいえ、その数字は例外的です。先進的な組織の5社に1社近くが、BYODは許可してはいないものの、以前として容認していると回答しています。また、25%は現在のところBYODを追跡および管理できていないと回答しています。
セキュリティとIT間のデータサイロ化の問題は、すべての組織において見られます。先進的な組織のうちの71%が、自社内のセキュリティ及びITデータがサイロ化されていると答え、レベル2の組織よりも実際に8ポイント高い数字となっています。レベル4の58%は、これらのサイロ化がセキュリティの応答時間を遅延させていることを認めています。データのサイロ化は、CISOとCIOにとって普遍的な問題であり、AIに対する投資をスピーディに行うにはデータの統合とアクセス性が求められるため、特に厄介な問題です。
当社は、サイバーセキュリティにおける次の段階では、最新のテクノロジーの進歩を活用し、より安全な職場を推進するために、CIOとCISO の間の連携を強化する必要があると考えています。
2025年:CIOとCISOの間の意見相違に橋を渡し、サイバーセキュリティに対しより一貫したアプローチを採用します。つまり...
Ivantiは、ITとセキュリティ間の障壁を取り除き、Everywhere Work(どこでも職場)を実現できるよう支援します。
デモで製品(動画)をご覧ください。
Ivantiは、2023年10月に7,300人以上の経営幹部、ITおよびサイバーセキュリティの専門家、従業員を対象に調査を実施しました。当社の目標は、今日の最も差し迫ったサイバーセキュリティの脅威と新たな傾向、機会、ビジネス戦略を理解することです。
調査の一環として、当社はサイバーセキュリティ成熟度スケールを開発しました。(詳細については、セクション 4 をご参照ください) 自己申告による情報収集には限界があり、人が自分の努力を評価する際にはバイアスがかかる可能性があります。ただし、この成熟度モデルに基づく調査結果は、サイバーセキュリティ分野に有益なシグナルを提供すると確信しています。読者の皆様には、これらの制限事項を念頭に置いていただくようお願いいたします。
この調査はRavn Researchが実施し、パネリストの募集はMSI Advanced Customer Insightsが行いました。調査結果は加重されていません。国別の詳細については、お問い合わせください。
この記事を共有する
グラフを含む主要な調査結果やアンケート結果を、プレゼンテーション用のフォーマットで入手できます。