ムーディーズの報告書でサイバーセキュリティの真の進歩が浮き彫りに
2024年4月15日、Mike Vizard
少し前まで、多くの組織がサイバーセキュリティ保険に投資するか、サイバーセキュリティの専門知識を増強するかの二者択一を迫られていました。ムーディーズの最新レポートによると、現在ではより多くの組織がその両方を追求しています。実際、最近のサイバーセキュリティ保険に加入するためには、そもそも組織がサイバー攻撃への耐性を強める必要があり、ここに好循環が生まれているのです。
世界最大手の格付け機関であるムーディーズが約2000人のサイバーセキュリティ専門家を対象に実施したグローバル調査によると、組織のサイバーセキュリティ予算はこの5年間で3分の2近く(65%)増加しました。ここにはフルタイムで働く社内のサイバーセキュリティ担当者の数を25%増やすために必要な給与も含まれています。
同時に、87%の組織がスタンドアローン型のサイバー保険に加入しており、2021年と比べて21%増加しています。保険料が以前よりかなり高くなっているにもかかわらず、合計13%の組織が、来年は追加の保険を求める予定との回答でした。
サイバーセキュリティ保険の加入資格が、より優れたサイバーセキュリティプロセスの導入にどの程度つながっているのか、正確には不明ですが、報告書によると、ほとんどの組織が少なくとも毎週データをバックアップし、多要素認証(MFA)を導入していると指摘しています。
また、調査対象となった全組織の約4分の3が、少なくとも年1回はサイバー脅威に対処する机上演習を実施しており、60%が何らかのバグ報奨金プログラムを実施していると報告しています。
サードパーティのリスク評価を改善するという点では、するべきことはまだたくさんありますが、プラス面としては、より多くのサイバーセキュリティ・チーム(90%)が、トップレベルの経営幹部に直接必要性を訴えられるようになっていることがあります。
もちろん、サイバー脅威の説明を受けたところでトップレベルの経営幹部がどの程度理解し、評価しているかは、組織によってさまざまです。多くのサイバーセキュリティの専門家は、サイバーセキュリティの問題に付随するビジネスリスクのレベルを説明するのはまだ難しいと考えています。正式な財務のトレーニングを受けていないサイバー担当者にとって、経営幹部が理解できるような言葉で説得力のある議論をするのは難しいことが多いのです。
プラス面を挙げるとすれば、より多くの経営幹部が耳を傾けるようになってきていることです。サイバー攻撃がビジネスにどのような影響を与えるかを実際に目の当たりにしてサイバーセキュリティに真剣に取り組まなくてはいけないと認識しているケースもあれば、法律でそう強制されているからというケースもあるでしょう。いずれにせよ、経営幹部がサイバーセキュリティを深いところまで理解しているわけではありませんから、好むと好まざるとにかかわらず、組織が直面する問題と課題を説明する責任はサイバーセキュリティチームのリーダーにあります。あまり語られてこなかった問題が1つあります。ほとんどのビジネスリーダーは、潜在的な利益とリスクを比較することに慣れているため、サイバーセキュリティ上の潜在的な問題があると分かっていても、新しい取り組みを始めることを選ぶ可能性が高いのです。
現実には、ほとんどのサイバーセキュリティリーダーは、これまで以上に責任を問われる一方で、組織の新しい取り組みにノーと言うことはできません。その代わりに、追加されるデジタルサービスが可能な限り安全であることを保証する最善の方法について助言することが主な役割となっています。
全体として、最近のサイバーセキュリティに関しては、近年になく楽観視できる点が増えています。人工知能(AI)の進歩により、懸念よりも楽しみが多くなることを期待したいものです。
原文はこちら
Moody’s report surfaces real cybersecurity progress
Apr. 15, 2024 Mike Vizard
https://blog.barracuda.com/2024/04/15/moody-s-report-surfaces-real-cybersecurity-progress
