ニュース
» 2020年08月07日 10時00分 公開

IoTセキュリティ:現場と連携するセキュリティ責任者は8倍有能!? テナブルが調査結果を報告

Tenable Network Security(テナブル)は、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。

[朴尚洙,MONOist]

 Tenable Network Security(以下、テナブル)は2020年8月6日、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。

Tenable Network Security Japanの森屋幸英氏 Tenable Network Security Japanの森屋幸英氏

 今回の調査は、世界各国の事業責任者425人、セキュリティ責任者416人、総計841人が対象で、これらのうちアジア太平洋地域からは200人以上、日本からは51人が参加しているという。

 レポートのタイトルは「ビジネスと連携したセキュリティ責任者の台頭(The Rise of The Business-Aligned Security Executive)」となっており、事業を推進する現場サイドと連携の取れているセキュリティ責任者と、そうでないセキュリティ責任者の間で顕著な差がみられたことが大きな特徴となっている。Tenable Network Security Japan カントリーマネジャーの森屋幸英氏は「企業における事業責任者とセキュリティ責任者の意識が合わない、足並みがそろわないという課題は指摘されてきたが、今回の調査ではセキュリティ責任者の10人中4人(約4割)が現場としっかり連携できており、連携できていないセキュリティ責任者と比べて大きなパフォーマンスの差が出ていることが分かった」と説明する。

現場としっかり連携がとれているセキュリティ責任者は10人中4人 現場としっかり連携がとれているセキュリティ責任者は10人中4人(クリックで拡大) 出典:テナブル

 事業責任者とセキュリティ責任者の間で起きているすれ違い自体は完全に解決されているわけではない。事業責任者は、サイバーセキュリティの脅威をビジネスリスクというコンテキストで知りたいと考えているが、そういった要求に対応できているセキュリティ責任者は半数以下にとどまっている。森屋氏は「例えば、新型コロナウイルス感染症(COVID-19)への対応について、全体の96%が対応戦略を実施したと回答している一方で、事業サイドとセキュリティサイドの足並みが『そろっている』『ややそろっている』という回答が75%に下がってしまった。この数字の下落は、すれ違いを顕著に表している」と語る。

 事業サイドと連携が取れているセキュリティ責任者は、調査に対して以下のような回答を行っている。「サイバーセキュリティイニシアチブをビジネスと連携させる」「脅威を見つけ、予測することに自信を持っている」「脆弱性アセスメントに対し積極的な取り組みを行う」「ビジネスステークホルダーとともにサイバーセキュリティの目的とメトリックがビジネスにおける必要性と連携しているか確認する」「対内・対外的に、サイバーセキュリティパフォーマンスをベンチマークできる」「サイバーセキュリティへの投資の重要性を示すことが可能」などだ。連携が取れていないセキュリティ責任者との違いは歴然としており、「セキュリティとビジネスが連携を取れた時に、明白でポジティブな効果を示すことが可能なことが分かった」(森屋氏)という。

 この「明白でポジティブな効果」についても、事業サイドと連携が取れているセキュリティ責任者104人と、そうでないセキュリティ責任者104人をサンプルにした調査結果の中で示されている。例えば、「私たちはどれくらい安全なのか、またどれくらいリスクにさらされているのか」という質問に対して、事業サイドと連携が取れているセキュリティ責任者は、そうでないセキュリティ責任者と比べて8倍の自信を持って回答できるという結果になった(テクノロジー、プロセス、データの3項目についての調査結果を総合しての比較)。

 他にも、組織全体へのアタックサーフェスの全体的な理解で3.3倍、技術的な判断へのビジネスコンテキストの利用では3.3倍、パフォーマンスメトリックのビジネスステークホルダーとの見直しでは6倍という顕著な差がみられた。

 森屋氏は「事業サイドと連携が取れていないセキュリティ責任者は、サイバー攻撃などが起こった時の火消し役、インシデントレスポンスにのみ集中している。このため、脅威の発見や予測に対して限られたリソースしか使えず、脆弱性アセスメントにもリアクティブなアプローチしかとれていない。これからの企業の将来は、事業サイドと連携したセキュリティ責任者にかかっているといえるだろう」と述べる。

製造分野におけるサプライチェーンへの攻撃が強まる

 この他、日本の対象者51人に対する調査結果についても報告があった。日本では、直近12カ月以内に企業に影響を及ぼすサイバー攻撃または不正侵入を受けたという回答が99%、5件以上の攻撃を受けたという回答は55%に上った。「今回の調査結果を国別で見た中では断トツに多い」(森屋氏)という。また、81%が過去2年間でサイバー攻撃の増加を実感しており、84%が今後2年間でサイバー攻撃が増加すると想定している。

 また日本企業は、サイバー攻撃によってどのような影響を受けたかという質問に対して「株価の下落」が46%、「従業員の離職」が42%、「知的財産の窃盗」が40%となり、他国と比べて高い割合になった。

 森屋氏は、企業に影響を及ぼす世界的なサイバー攻撃として「COVID-19に関連したマルウェアおよびフィッシング」「詐欺」「情報漏えい」「ランサムウェア」「ソフトウェアの脆弱性」の5つを挙げた。特に、「COVID-19に関連したマルウェアおよびフィッシング」では、金融分野における悪意のあるメールによる攻撃と、製造分野におけるサプライチェーンへの攻撃が強まっているとした。森屋氏は「IPA(情報処理推進機構)も指摘している通り、サプライチェーンへの攻撃が増えている。近年はITとOT(制御技術)の融合が進むことで、サイバー攻撃を受けやすくなっている側面がある」と指摘した。

Copyright © ITmedia, Inc. All Rights Reserved.