なぜ企業はサイバーセキュリティに本気になれないのか？ 調査から原因を探る

サイバーセキュリティは必要だ。だが技術的な内容を含むため分かりにくく、自社の問題としてとらえることが難しい場合がある。どうすればよいのだろうか。

[Jen A. Miller，Cybersecurity Dive]

　「サイバーセキュリティは分かりにくい。ITチームに任せておけばよい」という考え方はまだまだ多くの企業に残っている。

どうすれば上司を納得させることができるのか

　企業がよりデジタルに依存するようになり、サイバーセキュリティリスクが高まっている。潜在的な脅威が増えているにもかかわらず、CISO（最高情報セキュリティ責任者）は、社内の「すでに設置したサイバー防壁で十分だ」という意見と闘っている。どうすればこの現状を変えられるだろうか。

　これは、IT資格を認定するCompTIAによる調査から明らかになった事実だ（注1）。調査によれば、経営幹部のほぼ4割が「（自社の）サイバーセキュリティは十分だ」と回答した。逆に十分だと回答したITスタッフは25％、ビジネススタッフは21％に過ぎない。

　このギャップは、従業員のサイバーセキュリティスキルの不足と並んで、企業課題の上位に挙がる。

企業がセキュリティの改善に苦労する理由

　CompTIAにおいて業界リサーチを担当するバイスプレジデントであり、本報告書の執筆者でもあるセス・ロビンソン氏は、次のように述べた。

　「ほとんどの企業は『これで十分だ』という考え方は過度に簡略化されたものだと認識している。だが、その代わりに何をすべきなのかを十分に考えていない」

　この問題はこれまでの歴史の中で形成されてきた「サイバーセキュリティは一般的なITチームの仕事の一部だ」という姿勢に根がある。

　「数十年前であれば、専門のセキュリティチームを持つ企業を見つけるのは難しかった。しかし、今日、ほとんどの企業が専門のチームを備える」（ロビンソン氏）

　当時、サイバーセキュリティの問題は主に社内外の境界で生じていたためリスクが低かった。デジタル資産の価値も現在よりはるかに低かったため、これを盗む理由は少なかった。しかし、現在は情報とデジタル資産を盗む犯罪の収益性は高い。

　ロビンソン氏によると、企業の運営方法や保護のニーズが変化するにつれ、自社のセキュリティがどのように機能しているのかを把握するために必要な「指標」を持つ企業が減ったという。

　「根本的な問題は、サイバーセキュリティと脅威の状況の理解に複雑さが伴うことだ」（ロビンソン氏）

　CompTIAの調査によると、組織がセキュリティの改善に苦慮している理由は3つある。（1）技術的な優先順位が分からない、（2）セキュリティプログラムの効果を測定する指標が不足している、（3）サイバー技術や脅威の傾向などの広い範囲に対する理解が低い、という3点だ。

　また、CompTIAによると、多くの組織でセキュリティ対策が不十分であったり、第三者にセキュリティ対策を委託する方法が不明確であったりすることも、問題を悪化させている。

クラウドセキュリティ革命とCISOの役割

　「企業がサイバーセキュリティの価値と重要性をいまだに理解できないのであれば、クラウドコンピューティングが転換点になるはずだ。クラウドコンピューティングは、インターネット時代における自然なITの発展によって生まれた。（ファイアウォールのような）境界を置くだけではサイバーセキュリティが十分ではないと人々は突然気付いた。セキュリティについて、これまでとは違う考え方をする必要がある」（ロビンソン氏）

　デジタルサービス事業を営むWest Monroeのデロン・グリゼティッチ氏（ナショナル・サイバーセキュリティリーダー）は、次のように述べた。

　「企業がまだその段階に達していない場合、セキュリティの専門家はリスクの提示方法を検討しつつ、何を変えるべきかを考える必要がある」

　「CISOはビジネスに関するリスクをどれだけ説明してきただろうか。CISOには課題がある。CISOが一般的に抱いている技術的な懸念を、ビジネスに対する潜在的な影響に置き換えることができていないという点だ」（グリゼティッチ氏）

経営陣の悩みとセキュリティを一致させる

　一方で、CISOはサイバーセキュリティよりも技術革新や製品の市場投入を重視する経営陣と戦っている可能性もある。

　「特に新しい企業では『最速のガゼル（業界の革新リーダー）になれればよい』という態度が見られる」（グリゼティッチ氏）

　このような場合、CISOはサイバープログラムの成熟度を明確にして、その状態や欠如がビジネスにどのような悪影響を及ぼすのかを説明することに重点を置くべきだ。

　これはリスク分析を提示し、「セキュリティは十分だ」という考え方に依存することが、評判や財務、規制に関していかに深刻な影響をもたらすのかを説明することでもある。

　「このような場合にも、評価指標を見つけて追跡することが役立つ。リスクマネジメントのアプローチに指標を含めることは、他の経営幹部にも分かりやすいビジネスの言葉で話すことでもある。私たちが最終的にやろうとしていることは、なぜリスクを軽減したいのか、あるいは、どれだけの投資をすればどれだけのリスクを軽減できるのかという実例を作ることだ」（ロビンソン氏）

　サイバーセキュリティに対するこのような見方は、サイバーセキュリティをコストセンターから、ビジネスの戦略的な一部へと移行するものだ。

　これはビジネスリーダーの共感を呼ぶ。「なぜならば、彼らは『リスクプロファイルをできるだけ低くするためにどの程度、投資すべきなのか』と常に自問しているからだ」（ロビンソン氏）

　なお、CompTIAは2023年第2四半期にサイバーセキュリティに携わるビジネスおよびITの専門家を対象に今回の調査を実施した。調査に参加したのは、米国を拠点とする合計511人の専門家で、それ以外の地域の専門家125人も調査に参加した。

出典：Challenging the ‘good enough’ cybersecurity mindset（Cybersecurity Dive）
注1：State of Cybersecurity（CompTIA）