2018年7月16日

ITセキュリティの乖離: 議論するのではなく、解消に取り組むことが重要

Ponemon Instituteのレポートによると、自社の上層部がセキュリティを戦略上の優先事項と見ていると考えるITセキュリティプロフェッショナルは、わずか36%にすぎません。予算を割り当てる上層部と現場の担当者の間には、なぜこのような乖離があるのでしょうか。それについてITスタッフに意見を求めたところ、以下のような回答が得られました。

ITの世界では、20世紀の終わり頃から誰もが常識であると理解していることがいくつかあります。その最たる例として、実際に重大な危機が報告されるまでバックアップとリストアをテストする企業がほとんどないうえ、そうした報告があったとしても、IT部門はシステムが想定通りに機能しているかどうかを判断せず、引き続き稼働していることを確認するにとどまる場合がある、という事実が挙げられます。

セキュリティに関しても、過去数十年にわたって同じような対応がなされており、誰もがセキュリティの重要性を話題にはするものの、定期的なアップデートの適用とネットワークの境界の保護以外については、重大な侵害が報告されてはじめて頭を抱えるのです。また報告があったとしても、基本的なセキュリティ対策が施されている場合、対応が必要とされる、大々的に報道された具体的な不具合がなければ、多くの企業はセキュリティの強化や大幅なアップグレードへの資金の追加投入を嫌がります。

さらに悪いことに、テクノロジーとともにセキュリティ脅威も変化しており、IoTデバイスやエッジコンピューティングへの移行により、ITセキュリティで対処しなければならない攻撃面が急増しています。

ではここから、エッジやIoTの増加に伴って増え続けるセキュリティの問題を解消するのに役立ついくつかのアイデアについて見ていきましょう。

 

問題を認識するだけで終わらせない

最近Ponemon Instituteが発表したグローバルなサイバーセキュリティのメガトレンドに関するレポートによると、サイバーセキュリティの脅威が増大しているという事実は広く認識されているものの、企業の体制はこれまでと変わらず、今もなおそのための対策は限定的にしか行われていません。この調査では、自社の上層部がセキュリティを戦略上の優先事項と見ていると考えるITセキュリティプロフェッショナルが、わずか36%にとどまるという事実が明らかになりましたが、このレポートによると、これはおそらく、セキュリティの問題の対処に必要なテクノロジーと人員に対する投資が減少の一途をたどっていることを意味します。

またこうした状況はさらに悪化しており、Ponemon Instituteの調査では、大部分の回答者(82%)が、今後3年以内に職場で壊滅的なデータ漏洩が発生し、株主価値が大幅に下落すると予想する一方、多くの取締役会がセキュリティ戦略の管理に関与しておらず、サイバー攻撃の影響を回避、または軽減するための組織の対策について、自社の取締役会への説明が行われていないと答えた調査回答者が、68%に達することがわかりました。

このレポートでは、シニアITリーダーと企業幹部との間に憂慮すべき乖離があることが明らかにされており、大部分の企業幹部は、おそらく組織におけるセキュリティの必要性を理解してはいるものの、組織の価値を守るための対策となると、今もなお対応が遅れることがあるというのが実情です。

ITリーダーは今まで、主に予想される脆弱性に対応するためにシステムにパッチを適用したり、システムのメンテナンスや監視を行ったりすることでセキュリティ脅威に対応してきましたが、IT部門は一般的に予算とスタッフが不足しているうえ、多くの企業が、効率を向上させて運用コストを減らすためにIT環境を最新化することを強く求められています。そのため、場合によってはメンテナンス作業が完了せず、それがシステムのセキュリティ侵害につながることのある脆弱性を生み出しています。

 

IoTが問題を増大させる

これに加え、多くのITプロフェッショナルは現在、IoT環境の急増という新たな脅威に直面しています。このような電球から工業用機械に至るまでの接続デバイスの急激な増加は、リスクにさらされるエントリーポイントを増やし、エンタープライズネットワークの脆弱性を高めています。一方、保護されているすべてのデバイスのうち、セキュリティが組み込まれていないものはわずかであると思われ、Gartner社は、2016年に全世界で使用された接続デバイスの数が、2015年から30%増の64億台に達したことを報告するとともに、その数が2020年までに208億台になると予測しています。

IoT環境の急増に伴い、攻撃者は新たな経路で企業に侵入するようになりつつあります。Trustwave社が2018年に発表した『IoT Cybersecurity Readiness Report』によると、過去1年間で何らかのレベルの接続テクノロジーを導入し、それらを導入したデバイスに関連するセキュリティインシデントに対応しなければならなかった企業は61%でしたが、調査を行った企業のうち、攻撃を阻止するための正式なパッチ適用のポリシーと手順を設けていたのは、わずか49%でした。さらに、組織にとってIoTのセキュリティ戦略が「非常に重要」であると回答した企業は、わずか28%でした。

業界団体のCompTIAでチーフテクノロジーエバンジェリストを務めるJames Stanger氏によると、このようなリスクの軽減に取り組む企業では、IT部門内に浸透している「サイロ思考」が1つの課題となります。これについて同氏は、ITリーダーと経営幹部が十分にコミュニケーションを取れておらず、技術用語を使わない方法で経営幹部にリスクを伝える方法をわかっているサイバーセキュリティ担当のマネージャーがほとんどいないため、経営幹部はサイバー犯罪のリスクを完全には理解していないと述べています。また同様に、ITスタッフがリスクを軽減していることを証明するために使用する評価基準が、業界全体で統一されていないとも指摘しています。

そしてStanger氏は、次のような質問を投げかけています。「自分がCEOだった場合、セキュリティ制御に20万ドルが費やされたことを確認するのは可能ですが、ITマネージャーから、それによってどのような価値がもたらされたのかがわかる十分な情報は提供されるでしょうか。ハッキングされていないことがわかったとしても、その費用が適切に費やされたかどうかを知るには、どうすればよいのでしょうか」。

さらにStanger氏によると、多くの経営幹部が「自社でそのようなことが起きるはずがない」という考えを持っており、一部の企業は、データ漏洩が起きて深刻な経済的影響がもたらされる可能性があることを認識していません。これについて同氏は、さまざまな報道がなされているにもかかわらず、脆弱性が企業の利益に打撃を与えるまで、経営幹部はサイバーセキュリティに目を向ける必要性を感じないかもしれないと述べています。

 

セキュリティはコストがかかる

サイバー脅威の経済的脅威は高まり続けており、McAfee社が2018年に発表した『Economic Impact of Cybercrime—No Slowing Down』というレポートによると、2014年に国内総生産の0.7% (5,000億ドル)だったサイバー犯罪のコストは、0.8% (6,000億ドル)にまで増加しています。このレポートでは、コストが増加している理由として、サイバー犯罪者が新たなテクノロジーを迅速に導入したり、トップレベルのサイバー犯罪者が金融に関する高度な知識を身につけたりといったことが挙げられています。

エクセルシオ大学のNational Cybersecurity Instituteでプログラムマネージャーを務めるAmelia Estwick氏は、企業におけるもう1つの課題として、高度なスキルを持つセキュリティスタッフの不足を挙げています。同氏によると、大部分の企業は専任のセキュリティチームを雇えるだけの予算を持っておらず、IT部門にこうしたタスクを管理するよう求めていますが、ITチームは、負荷が高くて多くのことに気を取られており、大部分の時間をソフトウェアのメンテナンス(パッチの適用、アップデートなど)や問題のトラブルシューティングなどのタスクに費やしています。なお、Ponemon InstituteとIBM社が昨年発表したレポートによると、組織がデータ漏洩を特定するまでの平均日数は、(2016年の平均201日からやや短くなり) 191日となっています。

Estwick氏によると、組織にとっての脅威の性質は変わりつつあります。企業はこれまで、標的型の攻撃と非標的型の攻撃の形をとる意図的脅威に対峙してきましたが、今では、コストと効率化のメリットを活用するために、多くの企業がIoTで業務を行う方向へとシフトし、ネットワークに接続されている、監視されることがない場合もある多数のデバイスを導入しています。では、このようなデバイスはどの程度保護されているのでしょうか。

多くの企業はIoTデバイスメーカーに翻弄されている、とStanger氏は言います。企業はデバイスをセットアップすると、重大なセキュリティ侵害が起きて、たとえば1年もの間、誰も環境をチェックしていなかったことに気付くまで、デバイスを再検討しない傾向にあります。さらに同氏は、こうしたデバイスの多くは発売を急いだものであるため、それほど厳重にセキュリティが管理されていない可能性があると付け加えています。

また同氏は、ITマネージャーがセキュリティツールを適切に設定するのに必要な時間を取っていないケースが多いと指摘しています。

これについて同氏は、次のように述べています。「Target社やThe Home Depot社をはじめとする、大規模なセキュリティ侵害に遭った多くの企業は、いずれも適切なサイバーセキュリティシステムを導入していましたが、そうしたシステムを適切な手順で正しく設定してないことがわかりました。優秀なセキュリティプロフェッショナルによると、セキュリティシステムを正しく機能させるには、9か月から1年の期間が必要です」。

マサチューセッツ大学ローウェル校の助教であり、同大学のManning School of Businessにある運用情報システムを担当するBrian Lee氏は、別の問題として、企業幹部が明確な報奨金を設定していない点を挙げています。

これについて同氏は、次のように述べています。「調査の観点から見ると、ITセキュリティは明らかに企業の利益を向上させるものではないため、経営陣は通常、ITセキュリティをそれほど重視しません。ただし、企業の利益がすぐに増えることはないものの、実際には生産性と顧客満足度が向上するため、ITセキュリティに対する投資は不可欠なのです」。

南カリフォルニア大学マーシャル経営大学院で臨床ビジネスコミュニケーションの准教授を務めるStephen M. Byars氏は、このような予算の活用方法についての理解が不足していると、CTOがセキュリティ対策の予算を増やしたいと考えていても、CEOからすでに多額の投資を行っていると言われ、自らの立場が危うい状態にあると感じてしまう可能性があると指摘しています。

そして同氏は、これについて次のように述べています。「脅威は年を追うごとに高度化しているため、CTOはいつも、サイバー攻撃の脅威が増大していることを前提としてCEOに予算の増額を求めているかもしれませんが、たとえそのような状況が現実であったとしても、自社の中で常に予算の増額を求めてくる一部門のリーダーとして認識されたくはないと考えています。そしてどのCTOも、単にコーポレートガバナンスの観点から、常に予算の増額を求める一部門のリーダーにはなりたくないと思っているのです」。

 

問題は悪化の一途をたどっている

脅威が高度化し、より攻撃的になりつつある中、Ponemon Instituteのレポートは、ビジネスリーダーがITチームと連携して潜在的な脆弱性を特定し、アクションプランを策定して組織の価値を守るための投資を行うことを勧めています。Ponemon Instituteの調査によると、サイバーセキュリティに対して強い姿勢を取る企業は、イノベーションをサポートし、データ漏洩やサイバー犯罪への対応時に必ず発生するコストを削減できます。

このレポートは、脅威への備えを強化するために、組織においてCISOの役割を広げるといった対策を講じるか、セキュリティポリシーとセキュリティ手順の頻繁な監査とアセスメントを求める必要があると指摘しています。また、脅威インテリジェンスを使用して、企業のセキュリティポリシーとセキュリティ手順の監査とアセスメントを頻繁に行い、その結果を共有することを推奨しています。

自社の組織において、今後セキュリティで保護されていない職場のIoTデバイスに起因するデータ漏洩が発生する可能性が高いと述べている回答者が82%に達することを考えると、IoTコンピューティングの登場は、セキュリティプロフェッショナルがセキュリティモデルを全面的に見直すきっかけになる、とStanger氏は言います。

そして同氏は、次のように述べています。「IoTに関しては、かなりの数のデバイスが使用されていますが、その多くは急いで発売されたものであるため、こうしたデバイスを活用したいという思いはあるものの、セキュリティについて考えてこなかった企業は数多く存在します。セキュリティを念頭に置いて開発されたデバイスが最善ではないでしょうか」。

 

セキュリティギャップを解消する方法

Ponemon Instituteによると、2018年のサイバーセキュリティレポートで取り上げた(米国、ヨーロッパ、中東、および北アフリカ地域の1,100人を超える上級IT担当者を含む)組織は、サイバー脅威への備えを強化するために、以下のような対策を講じる計画を立てています。

  • CISOの役割と責任の範囲を広げる。CISOは、ITセキュリティ担当者が強力なサイバーセキュリティ対策によってビジネスのイノベーションと開発を進める組織が保護されると主張する中で、より大きな権限を持つようになると思われる、比較的新しい役割です。
  • 脅威インテリジェンスを共有する。組織のセキュリティ対策において、脅威インテリジェンスの共有が今後さらに重要になると予測している調査回答者は、56%に達します。
  • セキュリティポリシーとセキュリティ手順の頻繁な監査とアセスメントを求める。機密性の高いデータ資産が確実に保護されるよう、シニアITセキュリティリーダーがこうした評価を求めることを期待している回答者は、66%に達します。
  • マネージドセキュリティサービスプロバイダーを利用する。今後自社のサイバーセキュリティ戦略にマネージドセキュリティサービスプロバイダーを組み込む企業が増えていくと思われます。
  • ビッグデータ分析、サイバーセキュリティの人工知能、および脅威インテリジェンスフィードに対する投資を増やす。企業がサイバーセキュリティを強化するのに伴って、このような新しいテクノロジーの重要性が高まることが予想されます。

出典: Ponemon Institute、『2018 Study on Global Megatrends in Cybersecurity』

 

ITセキュリティの乖離: リーダーのためのアドバイス

  • ネットワークセキュリティの脅威が増大しているという事実は広く認識されているものの、そうした脅威に対する企業の対応はこれまでと変わっていません。
  • IoT環境の急増に伴って、セキュリティ攻撃者は新たな経路で企業ネットワークにアクセスするようになりつつあります。
  • 大部分の企業は専任のセキュリティチームを雇えるだけの予算を持っておらず、IT部門にこうしたタスクを管理するよう求めています。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもHewlett Packard Enterpriseの見解を反映しているとは限りません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。