AWSの調査によると、中小企業はセキュリティ対策に十分な予算やリソースを避けていない。これにはセキュリティに対する中小企業の“誤解”が関係している可能性がある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
中小企業はクラウドの導入によって、効率化や顧客体験の向上、テレワーク機能の改善などを求めている(注1)。しかし、Amazon Web Services(AWS)が経営幹部800人を対象に実施した調査によると、多くの中小企業はサイバーリスクに適切に対処できていないという(注2)。
中小企業の3分の1以上がセキュリティにおいて優先順位を付けておらず、5社中2社が「組織内でセキュリティに関する研修を実施していない」ことが報告書で明らかになった。また回答者の5人中2人が、「サイバーセキュリティを強化するための十分な技術的専門知識がない」と考えている。
中小企業は、大企業の成長とイノベーションをけん引するテクノロジーへのアクセスを求めて投資している。コンサルティング会社のAnalysys Masonによると、SMBセグメントのIT支出は2023年に前年比5.4%増、2027年には前年比8.3%増に達すると予想されている(注3)。
「しかしCISO(最高情報セキュリティ責任者)を雇ったり、クラウドセキュリティチームを立ち上げたりすることは、小規模な組織にとっては必ずしも現実的ではない」と、AWSのビジネスイノベーション責任者であるベン・シュライナー氏は「CIO Dive」に語った。
「私が話をする経営者は、セキュリティに関しては人手不足であることが分かっている。彼らは負け戦だと知って戦っているのだ」
給与計算・財務ソフトウェア会社のSageによると、Danebury Researchが実施した2100人のSMBの意思決定者を対象とした調査で、SMBの半数近くが過去1年間に何らかのインシデントを経験していることが分かった(注4)。
シュライナー氏は「多くの企業は、クラウド事業者を含むサードパーティーベンダーにサイバー支援を求めているが、その多くは侵害が発生した後のことである」と指摘する。
幾つかの誤解が、中小企業をサイバーリスクにさらす可能性がある。
AWSの調査によると、中小企業は一般的に「クラウドセキュリティはコストがかかり過ぎ、大規模なサイバー専門家チームが必要だ」と考えている。また回答者の半数は「移行されたデータはオンプレミスよりも本質的に安全性が低いと考えている」ようだ。
「移行後のデータはより脆弱(ぜいじゃく)であるという考え方が、クラウド展開のセキュリティ確保に膨大なリソースを割かなければならないという俗説を助長している」とシュライナー氏は指摘する。
ハイパースケーラーは顧客の負担を軽減し、自社の評判を守るために自社のプラットフォームにセキュリティ機能を組み込んでいる。クラウドが成熟するにつれて、こうした組み込みのセキュリティツールは導入しやすくなる。
「多くの場合、チェックボックスにチェックを入れるだけでいいのだ」とシュライナー氏は言う。
同氏はまた、オンプレミスのITスキルの80%はクラウドに移行可能だと推定している。
「ネットワークやデータベース、アプリケーションなど多くのスキルは同じようなものであり、ゼロから始めるわけではない」(シュライナー氏)
しかし、セキュリティ機能は有効になって初めて効果を発揮する。組織の規模にかかわらず、セキュリティシステムを有効にし、アプリケーションを更新し、基本的なガバナンスを維持しなければならない。
シュライナー氏は以下の2つの簡単な改善策を提示した。
「もし私が“魔法のつえ”を振れるとしたら、全員が二要素認証を使い、誰も自分のルートアカウントを使わないようにすることだ」
(注1)SMBs seek efficiency, customer connections in tech upgrades(CIO Dive)
(注2)Three Common Misconceptions About Cloud Security That are Holding Back Small and Medium Businesses(AWS)
(注3)Growing SMB tech spending prioritizes infrastructure, managed services(CIO Dive)
(注4)SMBs seek cyber training, support as attack risk surges(CIO Dive)
© Industry Dive. All rights reserved.