95%の従業員は、サイバー攻撃からの復旧方法を“理解していない”:Cybersecurity Dive
企業は従業員のサイバーレジリエンス能力を高めるためにプログラムを提供しているが、その多くが適切な成果を挙げていないようだ。
Immersive LabsがOsterman Researchに委託して実施した調査の報告書によると(注1)、従業員のサイバーレジリエンスを高めることを目的とした企業のプログラムは、その目標に達していないとされており、サイバーセキュリティリーダーの半数以上が「従業員がサイバー攻撃に対して準備できていない」と回答している。
報告書によると、3分の2の企業では従業員の95%がサイバー攻撃後の復旧方法を理解していないと懸念している。復旧時の優先すべきタスクとしては、中核となるITシステムなしでの業務運用や重要なタスクを完了させるために手作業への切り替えなどが含まれるだろう。
従業員へのセキュリティ訓練不足は、サイバー保険にも影響を及ぼす
Immersive Labsのサイバー担当副社長であるマックス・ベッター氏は「リーダーが持つチームの準備状況に対する自信と実際のサイバーレジリエンス能力との間には残念なほどの乖離(かいり)がある。これは従来のトレーニングが参加者の出席状況を評価しており、実際の能力を評価していないためだ」と話す。
政府当局や保険会社は、顧客データを管理する方法や重要なガバナンスの問題を企業がどのように取り扱っているかについて、ますます企業に説明責任を負わせる傾向にある。彼らはサイバー問題の意識に関するトレーニングやサイバーハイジーン(衛生管理)、インシデント対応、データセキュリティに対する取締役会の監督など、さまざまな実践を検証している。
保険会社は企業がセキュリティプログラムをどれだけ効果的に運営しているかに基づいて保険料と保険適格基準を調整している。しかし、今回の報告書は、企業が訓練を頻繁に提供していないことを示しており、業界認証の実際の価値について疑問を投げかけている。
また報告書によると、企業は説明責任を果たすために取締役会の関与を強める必要があるが、多くの場合その監視が十分でないことが分かっている。
Osterman Researchの調査は1000人以上の従業員を擁する企業における、米国や英国、ドイツの570人のシニアレベルのセキュリティおよびリスクリーダーを対象に実施された。
関連記事
- 「Smooth File」のランサムウェア被害の原因判明 VPN機器の脆弱性を悪用か
プロットは同社のクラウドサービスがランサムウェア被害に遭った件について、現時点でランサムウェアの侵入経路はVPN機器の脆弱性を悪用した可能性が高いと判断した。 - 「ソフトウェアアップデートは逆効果」 Twitter社の元CISOが“セキュリティ神話”を切る
セキュリティ業界で“常識”と考えられていることも実際は逆効果になっているのかもしれない。Twitter社でCISOを務めた現役ハッカーが、データを基に“セキュリティ神話”に疑問を投げかけた。 - アカウント管理の「あるある」にどう対処すればいい? “ザル運用”を見直そう
毎日のようにランサムウェアなどによる不正アクセス被害のニュースが聞こえてくる昨今、もはや「被害に遭う」前提で企業は対策を進める必要があります。この際にまずやるべきことが「アカウント管理」です。 - リソース不足の中堅・中小企業でもできるEDRの現実解とは?
ランサムウェア被害に遭えばデータの消失や漏えい、身代金の支払いを招き、最悪の場合、廃業のリスクもある。これを防ぐためにリソース不足の中堅・中小企業ができることは何か。
© Industry Dive. All rights reserved.