非情な現実? セキュリティ担当者の置かれた過酷な立場:セキュリティニュースアラート
Tenableはサイバーセキュリティに関する最新情報について報告した。ISACAの調査によると、セキュリティ、ITの専門家たちが“いま抱えている仕事のストレス”や“転職理由”が明らかになった。
Tenableは2025年3月7日(現地時間)、サイバーセキュリティに関する最新情報について報告した。クラウドセキュリティアライアンス(CSA)が発表したデータセキュリティの課題と対策、情報通信技術専門家の国際団体であるISACAによるIT人材の定着に関する提言、米連邦議会が進める脆弱(ぜいじゃく)性開示プログラムの義務化などが取り上げられている。
セキュリティ、ITの専門家たちの“仕事のストレス”と“転職理由”
調査から、大半の企業がIT人材の確保に苦戦している他、IT人材がいま抱える“悩みの種”や“転職のきっかけ”が明らかになった。
専門家が悩むデータセキュリティの課題
CSAが発表したレポート「Understanding Data Security Risk」によると、データセキュリティにおける主な課題としては以下が挙がった。
- ハイブリッドおよびクラウド全体で脆弱性の特定と優先順位付けの困難さ
- 経営層とサイバーセキュリティ部門の優先事項の不一致
- サイロ化されたツールによる可視性の欠如
- 規制準拠に重点を置くリスク管理の欠陥
これに対して推奨される対策は以下の通りだ。
- 複数のリスク指標を活用してデータリスクを可視化するツールの導入
- サイバー投資をデータセキュリティ目標と一致させるための改善
- 統合型プラットフォームの採用
- リアルタイム監視や高度な脅威検知を含むリスク管理の強化
専門家が悩むワークスタイルの課題
ISACAの最新レポート「Tech Workplace and Culture 2025」によれば、過去2年間でIT専門職の約3分の1が転職し、企業の75%が人材確保に課題を抱えていることが判明した。
「仕事に関連したストレスがある」と報告した回答者の71%のうち、主な要因としては以下が挙がった。
- 過重労働や長時間勤務
- 厳しい納期
- リソース不足
- 経営層の支援不足
転職の主な理由としては報酬の向上やキャリアアップ、より興味深い業務への従事などが挙がった。企業側はこの状況に対しワークライフバランスの確保、ハイブリッド勤務やテレワークの選択肢の提供、より魅力的な業務内容の確立に努める必要がある。
ストレスだらけだがセキュリティ担当者が考慮すべき事項は多い
この他、Tenableは業界ごとのセキュリティ成熟度の現在地や、新たなサイバー攻撃・規制、脆弱性の動向をまとめている。
セキュリティが成熟していない業界は?
欧州連合(EU)のサイバーセキュリティ機関であるENISAはEUの重要インフラのサイバー成熟度に関する最新レポート「ENISA NIS360 2024」を発表した。電力や通信、銀行業界は比較的成熟しているが、医療や行政機関は遅れていると報告されている。サイバーセキュリティの強化には業界間および国家間での協力体制の構築、ネットワーク・情報システム指令(NIS2)への準拠に向けたガイダンス提供、宇宙・行政・海運業界におけるセキュリティ対策の強化が推奨されている。
ランサムウェア詐欺が流行の兆しか?
一方、米国連邦捜査局(FBI)は、企業幹部を標的とした新たなランサムウェア詐欺について警告を発表している。ランサムウェアグループ「BianLian」を名乗る詐欺師が偽の脅迫状を郵送してビットコインで最大50万ドルの身代金を要求する脅威を報告している。これらの脅迫状にはQRコードが記載され、支払いを促す手口が使われているが、これには応じず社内で情報を共有するとともにセキュリティ対策を徹底するよう呼びかけている。
脆弱性の報告ルールはより厳しくなる
米国下院では連邦政府の契約企業に対し脆弱性開示プログラム(VDP)の導入を義務付ける「Federal Contractor Cybersecurity Vulnerability Reduction Act of 2025」が可決されている。この法案は、米国国立標準技術研究所(NIST)のガイドラインに準拠し、契約企業が情報システムの脆弱性を迅速に報告・対処することを目的としている。Tenableを含む複数の企業がこの法案を支持し、連邦政府のサイバー耐性を強化するための重要な一歩であると評価している。
VMware製品のゼロデイ脆弱性に注意
最後にBroadcomのVMware製品に影響を与えるゼロデイ脆弱性が悪用されている点が触れられている。影響を受けるのは「VMware ESXi」「VMware Workstation」「VMware Fusion」の3製品とされ、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226の脆弱性が指摘されている。これらの脆弱性に対するパッチを適用し、システムのセキュリティを確保することが推奨されている。
サイバーセキュリティの脅威が進化し続ける中、企業や組織はデータセキュリティの強化、IT人材の確保、重要インフラの防御、脆弱性管理の徹底など、多方面での対策を講じることが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「C++」存続の危機? 生みの親が安全なプログラミング言語への転換を模索
C++の生みの親であるビャーネ・ストロヴストルップ氏はC++を安全にするためにコミュニティーの協力を呼びかけた。政府や企業は安全なプログラミング言語に移行しており、メモリ安全性の問題がC++の存続を脅かしている。
“あまりにもお粗末” 岡山県の病院で起きたランサム被害から得られる教訓
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。
脱VPNは夢のまた夢? 日本のゼロトラストの進捗状況が調査で判明
NRIセキュアテクノロジーズは「企業における情報セキュリティ実態調査2024」を発表した。同調査から日本企業の生成AI活用状況やゼロトラストへの移行状況が明らかになった。