経営層とセキュリティ現場の“埋まらない溝” ギャップ解消のためにできること:CIO Dive
CSAの調査によると、経営幹部とサイバーセキュリティ担当者の間で、セキュリティの役割に対する認識相違が生じている。このギャップを解消するには。
非営利組織Cloud Security Alliance(以下、CSA)が2023年8月3日(現地時間)に発表したレポートによると、経営幹部とサイバーセキュリティ担当者の間で、セキュリティに対する認識の相違が生じている(注1)。この調査は同年5月にセキュリティ関連企業のExpelがスポンサーとなり、1000人のITおよびセキュリティ専門家を対象に実施された。
“楽観的”な経営層と“悲観的”なセキュリティ現場 ギャップを埋める方法は?
調査によると、経営幹部の半数は「クラウド導入時にセキュリティが優先されて、厳格に実施される」と回答した一方で、この意見に同意したセキュリティ担当者はわずか31%にとどまり、クラウドセキュリティの重要性に対して企業内で溝があることが分かった。
同調査はセキュリティがいつ開発プロセスに組み込まれるかについての認識の違いも示している。経営幹部の5人に2人が「セキュリティは製品開発中に実施され、継続的に改善される優先事項である」と回答したのに対し、セキュリティ担当者においてはその割合は4分の1人強にとどまった。
サイバーセキュリティ対策は、金銭的被害や風評被害から企業を守ることにつながる。IBMのデータによると、2022年にデータ侵害に見舞われた米国企業は平均940万ドルの被害を受けている(注2)。
しかしサイバーセキュリティに対する考え方は組織の中で異なっている。今回の調査対象となった経営幹部の半数は「強力なセキュリティ体制は企業の競争優位性を高める」と回答しているが、一方でその意見に同意したセキュリティ専門家は3人に1人強にすぎない。
CSAの分析によると、経営幹部は自社のサイバーセキュリティ対策を過信している可能性があり、「経営幹部は全体像を見据える中で、組織の志向を反映した楽観的な見方をする傾向があるが、特定の領域で働くセキュリティ担当者は日々の運用に基づいた実践的な視点を持っているかもしれない」とレポートで報告している。
サイバーセキュリティリスクが高まる中(注3)、既存のスキルギャップを埋めるためのトレーニングプログラムやベンダーのセキュリティツールへの依存度を高めるなど、リーダーは社内のセキュリティ体制を強化するためにさまざまな戦略を試みている。
企業の努力や政府機関の関心の高まりにもかかわらず、セキュリティリーダーの大半は、今後1〜2年のうちにサイバーセキュリティインシデントによって事業が混乱すると予想していることを、Cisco Systemsのデータが示唆している(注4)。データによると、このリスクに立ち向かう準備ができていると感じているのは、わずか15%だという。
CSAによれば、組織のサイバーセキュリティ体制を強化するには、コミュニケーションが重要になるという。「経営幹部は効果的なコミュニケーション戦略を確立した上で、セキュリティ担当者に対して業務の影響を共有し、組織のビジョンへの賛同を引き出す必要がある。同様に、セキュリティ担当者が自分たちの現実や課題をリーダーと共有できる環境を設けることも重要だ」とCSAの報告書は述べている。
(注1)Security-enabled innovation and cloud trends report from Cloud Security Alliance (CSA)(expel)
(注2)Data breach costs spread downstream, IBM says(Cybersecurity Dive)
(注3)Economic volatility to exacerbate cyber risk in 2023(Cybersecurity Dive)
(注4)Ill-prepared against cyberattacks? You’re not alone, Cisco says(CIO Dive)
関連記事
- なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。 - 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。 - インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - 83%がサポート終了済みのOSを使用 国内製造部門のセキュリティ実態とは?
BlackBerry Japanが製造業のサイバーセキュリティに関する調査結果を発表した。これによると、83%の企業が古いOSを使い続けており、サイバー攻撃のリスクにさらされているという。
© Industry Dive. All rights reserved.