デジタルビジネスならではのサイバーリスクとは――これまでのITセキュリティと何が違うか?:Weekly Memo(2/2 ページ)
ビジネスがデジタル化する中でサイバーセキュリティにおけるリスクはどう変わってきているのか。また、そのリスクにどう対処すればよいのか。パロアルトネットワークスの調査結果を基に考察したい。
深刻なサイバーセキュリティの人材・スキル不足
図3は、ビジネス観点でのサイバーリスクに関する懸念を聞いた結果である。全部で12項目あるが、上段が上位6つ、下段が下位6つを示している。染谷氏はその上位と下位の内容に着目し、次のように説明した。
「上位はサイバー攻撃によって直接発生する一次的な被害に対する懸念、もしくは短期的な観点で見たときのリスクに対する懸念だ。それに対し、下位はサイバー攻撃を受けた後の二次的なリスクに対する懸念、もしくは中長期的な観点で見たときのリスクに対する懸念を示したものだ。ビジネスの観点から見て重要なのは下位6つのような多面的リスク分析だ。従って、この結果はそうした分析ができる企業の割合が低いことを示している」
改めて図3を見ると、上位と下位の割合に大差があるわけではないが、染谷氏が言うように、順位を見るとサイバー攻撃に対する意識の在り方が浮き彫りになる。興味深い見方である。
図4は「サイバーセキュリティ関連のリソースが、デジタルテクノロジーを活用したビジネス施策のどの段階で組み込まれているか」を聞いた結果である。デジタル化したビジネスは、顧客や取引先だけでなく、株主やサプライチェーンなどのあらゆるステークホルダーに及ぼすセキュリティリスクを考慮して設計する必要がある。そのためには、ビジネスの企画段階から「法規制の順守」を含めてセキュリティを組み込むことが不可欠だ。
法規制の順守は、例えば図3に記されている「顧客・取引先損失」「訴訟・賠償責任」「関係者の懲戒処分」などへの対応を指す。図4で染谷氏が最も訴えたいポイントは、「法規制およびサイバーセキュリティに関する専門家とも、対策が“後付け”になってしまっていると見ている」ことだ。
同氏はこの調査結果を受け「サイバーセキュリティがデジタル化したビジネスに影響を与える中では、顧客や取引先だけでなく、株主やサプライチェーンなどのあらゆるステークホルダーに及ぼすセキュリティリスクを考慮してビジネスを設計する必要がある。そのためには、ビジネスの企画段階から法規制の順守を含めてセキュリティを組み込むことが不可欠だ」と指摘した。
図5は、サイバーセキュリティの観点での企業経営上の課題について聞いた結果である。図には上位5位が記されている。1位は「サイバーセキュリティに関する人材・スキル不足」で、全体の50%を占める。この人材不足、スキル不足は、デジタルビジネスにおけるサイバーリスクでも非常に深刻な問題として認識しておく必要がある。
また、図5における2位以下は、要するに「セキュリティ担当部署だけでなく組織全体が有機的に動けるか」をさまざまな観点から表したものである。この調査結果に対して染谷氏は「慢性的な人材・スキル不足の中でサイバーセキュリティへの取り組みが関係会社や事業部門ごとにサイロ化され、深刻な事態が発生した際に一貫性のある対応ができないといった課題に、企業が直面している現状」との見方を示した。
なお、パロアルトネットワークスでは、こうした調査結果に基づいて、サイバー攻撃から経営を守るためのセキュリティマネジメントフレームワークの導入支援サービスを2019年12月から提供するとしている。
今回紹介した調査結果は、これまでのITセキュリティとはちょっと違う「デジタルビジネスならではのサイバーリスクとは何か」を示したものといえそうだ。
関連記事
- 「Weekly Memo」記事一覧
- 新たな脅威が4つも ここは押さえておきたい! 情報セキュリティの10大脅威 2018年版
ますます高度化し複雑化する情報セキュリティの脅威には、いったいどんなものがあるのか。IPAが先頃発表した「情報セキュリティ10大脅威 2018」を基に考察してみたい。 - シスコは新たな“強み”を出せるか? 「Cisco Meraki」シリーズ新展開に見える戦略の変化とは
シスコがクラウド型無線LANネットワーク製品群「Cisco Meraki」の新製品を発表した。同製品がシスコに買収される形で加わって数年、同製品独特の“強み”とシスコ製品との共存体制を生かした戦略はどこへ向かうのか。来日中の責任者が語った。 - 狙われるホテル業界 カード情報や認証情報盗む巧妙な詐欺メールが横行か
宿泊施設を標的とするサイバー犯罪集団は、巧妙な詐欺メールを送り付けてホテルのシステムにマルウェアを仕込み、クレジットカード情報や認証情報を盗み出している。 - 従来の防御を回避する脅威も検知 クラウド環境を守る「Cloud Security Solution」――ファイア・アイが提供開始
サイバーセキュリティ企業のファイア・アイは、クラウドセキュリティに重点を置いた「FireEye Cloud Security Solution」を発表。従来の防御が見逃す脅威も高度に検知し、複雑化するハイブリッド/マルチクラウドを防御する。
Copyright © ITmedia, Inc. All Rights Reserved.