自社のセキュリティはうまくいっている なぜそう言えるのか

自社のサイバーセキュリティ施策が成功しているのか、それとも失敗しているのか、どうやって判断すればよいのだろうか。複数の専門家が意見を述べた。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃を受けていないことが、サイバーセキュリティに成功しているということなのだろうか。だが、攻撃を受けるか、受けないかは偶然にも左右される。

サイバーセキュリティにおいて重要な考え方とは

　「攻撃がゼロ＝防御に成功している」という等式は誤りだ。ではどのような状態になっていれば成功していると言えるのだろうか。

　サイバー防衛に携わっていると「組織が攻撃を受けるかどうかではなく、むしろいつ攻撃を受けるのかが問題だ」という認識に至るだろう。つまり、サイバーセキュリティで成功しているかどうかという問いに答えるのは単純ではない。悪いことは起こり得るし、実際に起こる。さらに常に悪化する可能性を秘めている。ではどうすればよいのか。

　結論を言ってしまえば、最悪のシナリオを回避することが防御側にとっての究極の目標だ。インシデントの影響は小さければ小さいほど良い。

　サイバーセキュリティ事業を営むArctic Wolf Networksのニック・シュナイダー氏（CEO）は「多くの組織は不幸にも何らかのインシデントに見舞われるだろう。それが現実だ。その上でインシデントがどのような結果をもたらすのかが重要だ」

　シュナイダー氏の言う現実は理想からは遠いかもしれないが、サイバーセキュリティの専門家であれば誰もが受け入れたいと思うはずだ。

　防御側がリスクを軽減できたり、インシデントが悪化する前に止血できたりしたなら、サイバーセキュリティにとって上出来だ。

　サイバーセキュリティ事業を営むCrowdStrikeのエリア・ザイツェフ氏（最高技術責任者）は次のように述べた。

　「高度に洗練されたサイバー犯罪者や、実質的に無限のリソースを持つ国家と関連する攻撃者は、何度か攻撃に失敗したとしても一度成功すればよい。防御においては、最終的にはスピードが最も重要な要素だ。インシデントが侵害につながることを防ぐには、敵よりも速く動かなければならない」

投資によって防御を強化し、利益を増やすという考え方

　複数の専門家は「Cybersecurity Dive」に対して「企業が組織全体でどのようにリソースを配分し、セキュリティにどのような優先順位を付けるのかが、成功、つまり収益の向上を達成する上で重要な役割を果たす」と語った。

　調査企業Forrester Researchのジェス・バーン氏（プリンシパルアナリスト）は「成功するセキュリティリーダーは、自分の部署の努力と投資をビジネスの成果に密接に結び付けることができる。セキュリティへの投資がどのように収益に貢献するかについて、経営陣の共感を得られるような形で示すことが重要だ」と述べた。

　2024年3月に発表された年次セキュリティプログラム推奨レポートで、Forrester Researchのアナリストは「CISO（最高情報セキュリティ責任者）が組織図の上位に移行し、他の予算が削減される中でセキュリティ予算が増加し続けているため、サイバーセキュリティがコストセンターではなくプロフィットセンターだということを証明せよという圧力が高まっている」と述べた。

　調査企業のGartnerは、2025年に世界的なセキュリティ支出が約13％増加し、2370億ドルに近づくと予測した。

　セキュリティリーダーや防御担当者にとって重要なのは、これらのコストがビジネス上の利益にどのように、そしてどこでつながるのかを検証することだ。

　サイバーセキュリティに割り当てられる技術資金の割合も増加傾向にある。世界的な信用格付け機関Moody'sが2023年に実施した調査によると（注1）、組織は、2023年にテクノロジー予算の8％をサイバーセキュリティに充てると回答しており、2019年の5％から増加した。

　Forrester Researchによると、包括的で適切なセキュリティ体制を維持することは、企業のビジネスモデルにおけるセキュリティの基盤を形成し、顧客の要求やサイバー保険の要件を満たすことにつながる。さらにセキュリティリーダーは法規制の要件を満たすためにどれだけのコストがかかるか、また、これらの規則が満たす各業種や地域、市場セグメントからどれだけの収益が得られるのかを計算することで、法規制のコンプライアンスを有利に活用できる。

　適切な規模のセキュリティプログラムの実施は不可欠だ。ビジネスリーダーにとって重要なのは、そのタイミングを正確に把握することだ。

　Cisco Systemsのウェンディ・ネイザー氏（戦略的エンゲージメントを担当するディレクター）は、「ビジネスの基本原則の一つは、必要になるまで必要でないものには一切お金を使わないことだ」と述べた。

　ネイザー氏によると、セキュリティの専門家が、防御のために多くの費用と時間を費やすよう経営層に働きかける場合、経営幹部は通常、その必要性が緊急なのか、投資する価値があるのか、あるいはその場しのぎの対策で十分なのかを尋ねるという。

　「（サイバーセキュリティの）成功の定義が難しいのはそのためだ。（セキュリティ対策を実際に効果的に導入することが）本当に難しい部分だ」（ネイザー氏）

成功の微妙な側面を計測する

　Google Cloudのフィル・ヴェナブルズ氏（バイスプレジデント兼最高情報セキュリティ責任者）によると、サイバーセキュリティにおける成功を定義したり測定したりするための単純な答えはなく、それはそれぞれの特定の領域によって大きく異なるという。

　「私個人は不意を突かれていないかどうかを常に考えている。リーダーとしての私を動揺させるのは、何か悪いことが起こり、それが完全に予期しないもので、私たちがそれについて知っているべきだったと感じる場合だ。私はいつも不意打ちに動揺する」（ヴェナブルズ氏）

　もう一つの重要な指標は、組織の平均対応時間だ。企業が侵入の全容を特定し、攻撃者を環境から排除し、攻撃者がどのようにシステムに侵入したのかを特定するために、根本原因を分析する時間だ。

　サイバーセキュリティ事業を営むMandiantが2024年4月22日（現地時間）の週に発表したGoogle Cloud Securityの年次の「M-Trends 2024 Report」によると、侵入を検知するまでの時間は2023年に10年以上ぶりの短さになった（注2）。中央値では10日で、これは2022年の16日よりも短い。

　「敵が逃げ出す前に、特定し、範囲を把握し、優先順位を付けて排除できれば、防御側の勝利だ。敵は目標を達成していないからだ」（ザイツェフ氏）

　攻撃後のクリーンアップ作業も同様に重要だ。いったん侵入のポイントが特定されれば、組織は攻撃者が再び侵入して後続の攻撃を開始しないように、迅速に対処しなければならない。

　「率直に言うと、サイバーセキュリティは、人生におけるほとんどのことと同じようにリスクに関するものだ。確率を最小に抑え、影響を最小限に抑えることができれば、かなり良い仕事をしていると言えるだろう」（シュナイダー氏）

出典：What is success in cybersecurity? Failing less.（Cybersecurity Dive）
注1：Cyber budgets increase, executive overview improves, but challenges lurk under the surface（Moody’s）
注2：Enterprises are getting better at detecting security incidents（Cybersecurity Dive）