「セキュリティは負け戦」なのか? リソース不足でも簡単にできる2つの対策:CIO Dive
AWSの調査によると、中小企業はセキュリティ対策に十分な予算やリソースを避けていない。これにはセキュリティに対する中小企業の“誤解”が関係している可能性がある。
中小企業はクラウドの導入によって、効率化や顧客体験の向上、テレワーク機能の改善などを求めている(注1)。しかし、Amazon Web Services(AWS)が経営幹部800人を対象に実施した調査によると、多くの中小企業はサイバーリスクに適切に対処できていないという(注2)。
中小企業の3分の1以上がセキュリティにおいて優先順位を付けておらず、5社中2社が「組織内でセキュリティに関する研修を実施していない」ことが報告書で明らかになった。また回答者の5人中2人が、「サイバーセキュリティを強化するための十分な技術的専門知識がない」と考えている。
中小企業にとってセキュリティとは「負け戦」なのか?
中小企業は、大企業の成長とイノベーションをけん引するテクノロジーへのアクセスを求めて投資している。コンサルティング会社のAnalysys Masonによると、SMBセグメントのIT支出は2023年に前年比5.4%増、2027年には前年比8.3%増に達すると予想されている(注3)。
「しかしCISO(最高情報セキュリティ責任者)を雇ったり、クラウドセキュリティチームを立ち上げたりすることは、小規模な組織にとっては必ずしも現実的ではない」と、AWSのビジネスイノベーション責任者であるベン・シュライナー氏は「CIO Dive」に語った。
「私が話をする経営者は、セキュリティに関しては人手不足であることが分かっている。彼らは負け戦だと知って戦っているのだ」
給与計算・財務ソフトウェア会社のSageによると、Danebury Researchが実施した2100人のSMBの意思決定者を対象とした調査で、SMBの半数近くが過去1年間に何らかのインシデントを経験していることが分かった(注4)。
シュライナー氏は「多くの企業は、クラウド事業者を含むサードパーティーベンダーにサイバー支援を求めているが、その多くは侵害が発生した後のことである」と指摘する。
中小企業はセキュリティに対して“誤解”している
幾つかの誤解が、中小企業をサイバーリスクにさらす可能性がある。
AWSの調査によると、中小企業は一般的に「クラウドセキュリティはコストがかかり過ぎ、大規模なサイバー専門家チームが必要だ」と考えている。また回答者の半数は「移行されたデータはオンプレミスよりも本質的に安全性が低いと考えている」ようだ。
「移行後のデータはより脆弱(ぜいじゃく)であるという考え方が、クラウド展開のセキュリティ確保に膨大なリソースを割かなければならないという俗説を助長している」とシュライナー氏は指摘する。
ハイパースケーラーは顧客の負担を軽減し、自社の評判を守るために自社のプラットフォームにセキュリティ機能を組み込んでいる。クラウドが成熟するにつれて、こうした組み込みのセキュリティツールは導入しやすくなる。
「多くの場合、チェックボックスにチェックを入れるだけでいいのだ」とシュライナー氏は言う。
同氏はまた、オンプレミスのITスキルの80%はクラウドに移行可能だと推定している。
「ネットワークやデータベース、アプリケーションなど多くのスキルは同じようなものであり、ゼロから始めるわけではない」(シュライナー氏)
しかし、セキュリティ機能は有効になって初めて効果を発揮する。組織の規模にかかわらず、セキュリティシステムを有効にし、アプリケーションを更新し、基本的なガバナンスを維持しなければならない。
シュライナー氏は以下の2つの簡単な改善策を提示した。
「もし私が“魔法のつえ”を振れるとしたら、全員が二要素認証を使い、誰も自分のルートアカウントを使わないようにすることだ」
(注1)SMBs seek efficiency, customer connections in tech upgrades(CIO Dive)
(注2)Three Common Misconceptions About Cloud Security That are Holding Back Small and Medium Businesses(AWS)
(注3)Growing SMB tech spending prioritizes infrastructure, managed services(CIO Dive)
(注4)SMBs seek cyber training, support as attack risk surges(CIO Dive)
関連記事
- 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。 - フィッシングにまみれてしまった「メール」の今後を考える
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。 - OSSを使うならSBOM対応は欠かせない HISOLが「SBOM管理サービス」を開始
日立ソリューションズは「SBOM管理サービス」を開始した。SBOMを一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を実現する。
© Industry Dive. All rights reserved.