サイバーセキュリティレベルへの満足は各人各様
2019年9月23日、Mike Vizard
現在のサイバーセキュリティに関する最大の問題の一つは、導入しているサイバーセキュリティのレベルについて、企業経営者とIT部門の従業員の認識が一致していないと思われることです。
CompTIA(Computing Technology Industry Association)が今週500人の企業経営者とIT部門の従業員を対象に実施した調査からは、両者の認識が非常にかけ離れていることがわかります。導入しているサイバーセキュリティのレベルを完全に満足できるものと評価している企業経営者と一般の従業員はそれぞれ55%と61%ですが、同様に感じているIT部門の従業員はわずか35%です。また、社内のサイバーセキュリティの理解が十分であると回答している企業経営者と一般の従業員は合わせて91%ですが、同様に感じているIT部門の従業員はわずか78%です。
とはいえ、コンプティアによる調査からは、企業の45%が現在のサイバーセキュリティ対策に完全に満足しており、この割合は2017年のわずか21%から増加していることがわかります。このような企業の多くは、その根拠として、サイバーセキュリティパフォーマンスの評価基準への投資を増加していると思われます。また、この評価基準を大いに活用している企業も大きく増加しています。現在、この評価基準を大いに活用している企業は3分の1をはるかに上回っており(39%)、この割合は1年前の21%から増加しています。
調査:中小企業の48%が、大企業や中規模企業よりも早く #インフォセックおよびコンプライアンスメトリックを採用しています。〜@mvizard #cybersecurity
興味深いことに、中小企業(48%)は大企業(37%)および中堅企業(27%)より迅速に、この評価基準を採用していると思われます。具体的な評価基準は、コンプライアンス監査の合格、従業員のセキュリティトレーニング、正式なリスク評価、およびセキュリティポリシー違反です。
導入しているサイバーセキュリティのレベルがどのようなものであれ、この調査からは、すべての企業の半数以上が満足していないことは明らかです。もちろん、程度の差はあれ、すべての企業が攻撃を受けやすいことは確かです。真の問題は、サイバー犯罪者がセキュリティを侵害しようとする価値がないほど、すべての企業がセキュアであることです。サイバー犯罪者は、さらに多くの攻撃をさらに低いコストで実行するために、すでにAI(人工知能)に投資しています。また、さらに高度なボットプラットフォームによって、さらに多くの標的型攻撃をさらに強力に実行していると思われます。長期的には、サイバー犯罪者にとっては、適切なプラットフォームを導入すると、攻撃を実行するコストは減少する一方です。
このような現状から生じている問題は、現在のセキュリティレベルに満足している企業が、ある種の希望的観測をどの程度、抱いているかということです。IT部門の従業員は、社内の実状を一般の従業員より分析していることを主な理由として、サイバーセキュリティの現状について常に一般の従業員より楽観的です。厄介な問題は、IT部門の従業員がセキュリティレベルに満足している企業経営者にサイバーセキュリティ予算の増額をいつ納得してもらうかということです。
結局、企業は、盗み出される可能性があるデータの価値に基づいて、許容可能なリスクレベルを決定する必要があります。しかし、企業経営者がサイバーセキュリティ攻撃を十分に重視していない環境では、不都合な現実に直面することは時間の問題です。
原文はこちら:
Level of satisfaction with cybersecurity depends on who you ask
September 23, 2019 Mike Vizard
