サイバーセキュリティ/ITチームの分断にどう対処するか–テナブル調査

今回は「サイバーセキュリティ/ITチームの分断にどう対処するか–テナブル調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Tenable Network Security Japanは11月8日、「日本の組織のサイバー攻撃対策に関する新調査」の結果を発表した。

 「日本の回答者の74%が、予防的なサイバーセキュリティに特化したリソースを増やすことでサイバー攻撃に対する防御を強化できると考えていることが明らかになった」という。一方で「68%の回答者は、サイバーセキュリティチームが重大なインシデントへの対応に大部分の時間を割いている」といい、事後対応の負担が重く、事前対応が有効だと分かっていながらも、そこに割くリソースが確保できずにいる現状が浮かび上がっている。

 概要を説明したカントリーマネージャーの貴島直也氏は「サイバー空間が世の中になくてはならない社会基盤になっている」という現状を受け、サイバー攻撃で情報漏えいやサービス停止が発生した際の社会に与える影響が極めて大きくなっていることから、有効な防御策を講じる必要があるとし、調査を実施したと述べた。

 同調査は、日本、オーストラリア、ブラジル、フランス、ドイツ、インド、メキシコ、サウジアラビア、英国、米国の10カ国の大企業(1000人以上)の825人のサイバーセキュリティおよびIT責任者を対象に実施したもの。うち日本の回答者は50人。全体の32%はセキュリティ責任者で、68%がIT責任者だという。

 日本における人員の課題について、貴島氏は「サイバーセキュリティチームとITチームは分断されていることが多く、その業績やゴールも相反するもので評価されているケースがある。そのため、ITチームとサイバーセキュリティチームの間で調整の必要があり、その調整が困難で膨大な時間を要している」と指摘した。

 「ITチームとサイバーセキュリティチーム間の調整は困難であり、膨大な時間を要する」という設問に対して「そう思う」「非常にそう思う」という回答は、日本の回答者では42%、全体では40%だった。「サイバーセキュリティチームは重大なインシデントへの対処に時間を取られ、組織のエクスポージャーを削減するための予防的なアプローチを採ることができない」という問いに対しては、「そう思う」「非常にそう思う」が全体の58%に対して日本では68%と高く、さらに「ITチームはパッチの適用や修正よりも稼働時間のことを気にしている」との回答は、グローバルでは65%のところ日本は72%だった。

 こうした結果から、同氏は「ITチームはサービスの開発や継続運用を中心に、ダウンタイムをなくすことをゴールにしている。セキュリティチームはリスクの低減を目指しているが、ITチームとしてはセキュリティのリスクが下がることよりもダウンタイムが生じることの方が困るという考え方になっている」と語り、ダウンタイムを作りたくないITチームに対してセキュリティチームが調整/交渉を行うことが大きな負担となっているとした。

 さらに、セキュリティチームがITチームの下に位置付けられている場合はセキュリティチームの視点が反映されない可能性があることから、経営陣が両方の視点を比較検討して意志決定を行えるよう、ITチームとセキュリティチームがそれぞれ独立して経営陣に報告できる体制とすることが重要だと指摘している。

 次に「過去2年間において、日本の組織では、自社が受けたと自覚のあるサイバー攻撃のうち63%に対しては予防の準備ができていた」という。逆に言えば「37%の攻撃に対しては脆弱(ぜいじゃく)なままで完全な阻止はできず、事後対応的な緩和策を取らざるを得なかった」ことになる。

 「自組織が予防的なサイバーセキュリティにもっと多くのリソースを割けば、より確実にサイバー攻撃を防ぐことができる」という問いに対し、「強く確信している」「非常に強く確信している」と回答した日本企業は74%で、予防的な対策の有効性はよく理解されているものの、実行には移せていない現状がうかがえる。こうした状況を踏まえて、貴島氏は「ITチームとサイバーセキュリティチームの業績の測定方法を見直すなどの対策が、内部対立や組織のサイロ化を解消するのに大きな効果が期待される」としている。

 プロセスの課題とテクノロジーの課題について説明したシニアマーケティングマネージャーの水村明博氏は、クラウドサービスの選定/導入過程の早い段階でセキュリティチームの意見を求めることなしに決定されることや、多数のセキュリティツールを併用することで環境が複雑化してしまうことなどが課題として認識されていると紹介した。最後に同氏は「事後対応に追われる受け身の態勢から、予防的防御で対応できる攻撃を増やしていくように転換することの価値」を指摘している。

元記事: https://japan.zdnet.com/article/35211291/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
八海醸造、リスク管理の強化でクラウド契約業務サービスを導入
IT関連
2022-06-23 12:52
LeapMind、エッジデバイス上でのリアルタイム動作と高画質を両立させた高精細AI画像処理モデル発表
IT関連
2022-02-02 04:55
「Chromebook」でWindowsアプリを使用可能に–「ChromeOS Virtual App Delivery with Cameyo」
IT関連
2023-09-06 06:22
「想像力」と「コラボレーション力」でモノ作りの限界を突破–3年ぶりリアル開催の 「3DEXPERIENCE World 2023」
IT関連
2023-02-22 08:04
BMWのサプライチェーンを効率化へ–量子コンピューティングで可能性探る
IT関連
2021-02-04 09:12
Vercel、生成AIへのプロンプトでWebアプリのUIを自動生成してくれる「v0」をベータ公開。Freeプランも提供
HTML/CSS
2023-10-18 22:07
DMM.comが認証基盤をオンプレミスからクラウドへ、 移行先のデータベースとしてNewSQLを評価した結果とは?[PR]
AWS
2023-01-18 14:29
スマートフォンをハッカーから守る–5つの簡単な対策で保護を強化
IT関連
2023-04-06 08:03
アマゾン、「Alexa」に3つの生成型AIスキルを搭載
IT関連
2024-01-12 03:59
トラックから信号機が次々出てくる? 自動運転AIの画像認識結果が話題に 対策は?
ロボット・AI
2021-06-15 04:41
オープンソース特許コンソーシアムのOIN、特許保護対象をさらに拡大
IT関連
2024-06-15 05:17
ついにテスラの太陽電池・エネルギー貯蔵事業が売上原価を超える、売上げ約882.6億円
ハードウェア
2021-07-28 23:37
MS、「DALL-E 2」採用のデザインアプリ「Microsoft Designer」などを発表
IT関連
2022-10-14 03:01
集英社のアクセラレータープログラム「マンガテック2020」採択スタートアップ5社が公開
ネットサービス
2021-03-24 12:51