防御だけでは不十分、先手を打つ方策へ移行せよ――CompTIAのセキュリティレポート：外部人材の活用ではコストが課題

CompTIAは米国企業の最新セキュリティトレンドに関するレポートを発表した。サイバーセキュリティでは、完全な防御を目的とした取り組みはもはや意味を成さなくなり、米国企業の目は先手を打つ方法に向いているという。

[＠IT]

　CompTIAは2018年11月9日、2018年のサイバーセキュリティ動向を調査した結果を基に、米国企業の最新セキュリティトレンドに関するレポート「2018 Trends in Cybersecurity − Building Effective Security Teams（サイバーセキュリティの動向：効果的なセキュリティチームの構築）」を公開した。

　企業が今後求められるセキュリティに対応するには、セキュリティチームを立ち上げ、社内外の人材を活用することが必要であるとして、そのための方策を述べている。

　まず、CompTIAの調査結果を見てみると、サイバーセキュリティ活動の主要部分を社内で実施している企業が大半を占めている。そしてセキュリティ人材を擁する企業の72％が、セキュリティセンターを社内に設置するものだと考えている。

　しかし、セキュリティに関する取り組みを全て社内で完結している企業は少ない。CompTIAの調査によれば、社内にセキュリティ人材を抱える企業のうち78％が、セキュリティ対応のために外部組織を頼っている。その形態はさまざまで、特定のセキュリティ活動に関して外部企業と継続的な契約を結んでいる場合もあれば、個々のプロジェクトごとに外部組織を使う場合もある。そして外部組織を使用している企業の半数は、複数の外部組織を利用している。

外部セキュリティ企業に対する主な課題点（出典：CompTIA）

　一方、企業が取り組んでいるセキュリティに関して、スキルに偏りが見られた。アクセス制御やネットワークセキュリティなどに取り組む企業は比較的多い。特にネットワークセキュリティについては、さらに向上させることが必要だと感じている企業が25％あり、改善が必要だと考えている企業は64％あった。

　これに対して脆弱（ぜいじゃく）性管理やセキュリティ分析などに取り組む企業が少なかった。また、セキュリティへの取り組みに測定基準（メトリクス）を多く活用している企業は21％しかなかった。

セキュリティは継続的活動＝予防が重要

　これらを踏まえてCompTIAでは、次のように提言している。

　セキュリティの目的は、もはや理想的な防御の構築ではない、という理解を持つことが重要だ。セキュリティの維持管理は必要なタスクであるものの、それだけでは不足している。攻撃が間断なく続くことを考えると、完全な防御は目的としてあまり意味を成さなくなってくる。実際に、企業はセキュリティ対策を確実にするため、より先手を打つ方法に目を向けている。

　教育ニーズや侵害を監視する継続的ビジランス（警戒）がまだ初期段階にあることを考慮すると、今後のセキュリティへの取り組みは、先手を打つ方策に重点が置かれることになりそうだ。

防御から予防へと考え方が変わってきている（出典：CompTIA）

　さらに、セキュリティが継続的活動であるという認識を持つことが重要だ。セキュリティがどう機能するかを正しく理解することによって、組織としてセキュリティチームを強力で有能にするために必要な行動を取ることができるようになる。

　CompTIAは、このような米国企業の変化を受けて、日本企業について次のように述べている。

　日本の企業は、セキュリティが複雑になる中で、効果的なセキュリティチームを作るための新たな検討を進めるフェーズに入った。特に、デジタルトランスフォーメーションを進める企業で、この傾向が強い。

　これまでの経験によると、日本は2〜3年遅れて米国のトレンドを追いかけている。今回の調査対象企業の多くは米国企業だが、レポートからは、サイバーセキュリティが単なる防御戦術ではなく、積極的にビジネスチャンスを狙う上での後押しとなりえることが理解できるはずだという。