巧妙化するサイバー攻撃、セキュリティ担当の課題は人材不足や予算など

今回は「巧妙化するサイバー攻撃、セキュリティ担当の課題は人材不足や予算など」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　企業がデジタル変革の取り組みを進め、消費者情報をクラウドに保存し続ける中、インターネット利用者や企業にとって、サイバーセキュリティリスクに対する懸念は高まるばかりだ。

　Foundryが、世界のセキュリティリーダー約900人を対象に実施した「2022 Security Priorities Study」によると、回答者の90％が自組織のセキュリティリスクへの対処が不十分だと考えていた。

　サイバーセキュリティ攻撃は、今に始まったことではない。しかし、攻撃者の手口は巧妙化しており、大学、病院、大企業、重要インフラを標的にしたものが増えている。

　企業は、テクノロジー脅威の進化があまりにも早く、サイバーセキュリティ担当者が追いつけないという問題に直面している。加えて、多くの企業のサイバーセキュリティ部門は人材不足のため、サイバー攻撃に対して極めて脆弱な状態に置かれている。

　こうした人材不足の中、IT幹部がセキュリティ脅威に対応しようとする場合、45％が既存スタッフの業務を増やすことに依存していた。また、45％が自動化技術を活用し、42％がセキュリティ機能を外部に委託していた。

　調査対象者は、インシデント対応を改善し、熟練したセキュリティスタッフを維持するには、自動化が重要なツールであると考えている。例えば、インシデント報告に対応するために、34％の企業は人間とマシンの力を連携させるSOAR（Security Orchestration, Automation and Response）技術の導入を検討していた。

　また調査から、ITセキュリティ脅威の主な要因は、依然として従業員のミスであることが分かった。セキュリティインシデントの最大の要因は、2021年の44％から減少しているものの、悪意のないユーザーエラーであると34％が回答した。これに、サードパーティーのセキュリティ脆弱性（28％）、パッチを適用していないソフトウェアの脆弱性（26％）、ソフトウェアサプライチェーンの侵害（17％）が続く。

　セキュリティリーダーは、自組織がセキュリティリスクに適切に対処できるよう、テクノロジー、人材、予算に十分な投資をしておらず、アプリケーションを開発する際も、セキュリティは往々にして後回しにされていると報告した。また、サイバーセキュリティ研修も、すべてのレベルのスタッフで不十分であることが分かった。

　サイバーセキュリティに対する予算配分をみると、大企業は約1億2200万ドル（約180億円）、中小企業は約1600万ドル（約23億円）を費やしており、平均的なセキュリティ予算は年間6500万ドル（約94億円）だった。

　将来的なセキュリティリスク防止のために、ノートPC、デスクトップ、サーバーなど、エンドポイントのセキュリティ保護に取り組んでいると、51％が回答した。セキュリティ啓発の研修も予定されており、46％が研修への投資を増やす予定である。

　多要素認証の強化など、22％が既存テクノロジーのアップグレードを計画しており、21％がデータのバックアップや復旧技術をアップグレードする予定だ。

　その一方で、32％がゼロトラスト技術について検討している。これは、社内で使われているデバイスであっても、ネットワークが自動的に信頼しないITシステムを用いるアプローチだ。ゼロトラスト技術の導入を予定している企業は20％を超え、2021年の13％から増加した。