テクノロジー分野が縮小し、Amazon、Microsoft、Meta、Google、Salesforce、Coinbase、Crypto.com、Lyft、Netflix、Intel などの主要企業が参入する中、企業はセキュリティ専門家の数が減り、予算が厳しくなる中で 2023 年を迎えることになります。
参照: セキュリティアナリストの採用方法 (TechRepublic Premium)
Neustar International Security CouncilがEMEA(欧州・中東・アフリカ)および米国のセキュリティ専門家を対象に2ヶ月ごとに実施しているオンラインアンケートの結果によると、脅威対象領域全体にわたって十分な防御体制が整っていると考えている組織は少なく、セキュリティニーズを満たすのに十分な予算があると回答した回答者は半数にとどまりました。最も重要な資産のみを保護する準備ができていると認めた回答者は、わずか10人に1人でした。
セキュリティチームに求められるのは、少ないリソースでより多くの成果を出すこと
Neustar Security Servicesのソリューション担当上級副社長、カルロス・モラレス氏は、この調査の中で、脅威の対象領域が拡大するにつれてITチームの人員が逼迫し、人員不足に直面しながらも新たな責任を引き受け、新たな取り組みに取り組むことを余儀なくされていると認めた。
「予算圧力が高まる中、ITおよびセキュリティチームは再び、少ないリソースでより多くの成果を上げるよう求められており、企業が需要に応じてリソースを柔軟に拡張できるサービスベースの製品の導入が加速する可能性が高い」とモラレス氏は述べた。
サードパーティプロバイダーが脅威の表面を拡大
回答者の 85% は、ハイブリッド ワークによって組織のスタッフおよびリソースのアウトソーシングに関してサードパーティ プロバイダーへの依存度が高まったと回答し、78% は、この変化によって組織が攻撃に対してより脆弱になったと回答しました。
回答者は、分散型サービス拒否攻撃(22%)を最も認識されている脅威と評価し、次いでシステム侵害(20%)、ランサムウェア(18%)と続き、回答者の 87% が組織が何らかの時点で DDoS 攻撃を受けたことがあると報告しています。
調査対象となった企業の大多数は、DDoS 緩和をアウトソーシングしていると回答しており、そのほとんど (60%) では緩和を開始するのに 60 秒から 5 分かかります。
ビジネスマネージャーやシニアディレクター、CTO、その他の専門家を対象とした調査では、現在のサイバーセキュリティ戦略が非常に適切であると考えている回答者はわずか34%で、約60%はやや適切であると考えています。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
指導者たちは攻撃の高度化を懸念している
企業のセキュリティ戦略に対する疑問に加えて、回答者の 35% は、組織のサイバーセキュリティ予算は 2023 年に同じか減少すると回答し、回答者の 44% は、その結果、ビジネスがさらに危険にさらされると考えています。
調査参加者に、組織の IT セキュリティ体制に対する現在の最も重大なリスクを特定するよう依頼したところ、次の回答が得られました。
- 最も懸念されたのは攻撃の高度化であり、回答者の 60% が同じ意見でした。
- 回答者の 54% が挙げた攻撃者の活動の増加は、2 番目に多い懸念事項でした。
- 予算の制約と、ますますボーダーレス化が進むビジネス運営による攻撃対象領域の拡大は、それぞれ回答者の 35% が懸念事項として挙げました。
- 回答者の 27% は、人材、セキュリティ スキルのギャップ、燃え尽き症候群などのリソース不足を指摘しました。
- 調査対象者の 19% が、管理すべきツールやアラートが多すぎることをリスクとして挙げています。
回答者の大多数は、経営幹部および取締役レベルの意思決定者が、自社が直面している現在のセキュリティ脅威を理解しており(83%)、多層防御戦略の重要性を認識しており(81%)、組織の保護を事業運営の不可欠な要素としている(80%)と回答しています。しかしながら、回答者のかなりの割合(69%)は、現在の予算制約により、新しい戦略、テクノロジー、実装手法の活用が制限されていることを懸念しています。
増加していると思われる脅威ベクトルを尋ねたところ、ランサムウェアが最も多く(75%)、次いでフィッシング(74%)、DDoS 攻撃(72%)、電子メールを介した標的型ハッキングおよびソーシャル エンジニアリング(71%)と続きました。
レジリエンスにはCISOをCレベルに引き上げることも含まれる
最近発表された世界経済フォーラムの調査に基づく研究によると、サイバーリーダーの半数以上が、サイバー関連のトピックについて議論するために、毎月、あるいはそれ以上の頻度でビジネスリーダーと会合を開いています。この慣行を実施している企業の回答者によると、サイバーセキュリティの優先事項に焦点が当てられるため、そのメリットは非常に大きいことが示されています。
WEFの調査によると、少なくとも月に1回会合を持つ回答者のうち、36%が自社のサイバーレジリエンスに自信を持っていることがわかりました。これらの回答者のうち、自社のサイバーレジリエンスが十分でない、またはサイバーレジリエンスの実現能力に懸念があると回答したのはわずか8%でした。
WEF の調査では、CISO とビジネス上の意思決定者との直接の対話がサイバーセキュリティ予算に健全な影響を与える可能性があることも示唆されていますが、調査対象となったサイバーセキュリティ リーダーの 3 分の 1 は、リーダーシップのサポートを得ることがサイバーレジリエンスの管理における最も困難な側面であると評価しました。
スキルアップは、リバースエンジニアリング攻撃やゼロデイ脆弱性の封じ込めなどにおいて重要な要素となります。倫理的なハッカーになり、その恩恵を受けるために、これらのツールをダウンロードすることを検討してください。
