サイバーセキュリティにおける”ヒューマンファクター”の再定義

サイバー脅威とその対応について人的要因の関連性をより広範に深く理解するためにヒューマンファクター360度モデルを使用し調査を実施しました。

はじめに


今日、情報セキュリティインシデントの主な原因の一つは、誤操作や情報の管理ミス、破棄漏れや紛失といった人為的ミスに起因します。そのため「ヒューマンファクター」(人的要因)の概念について新しい視点で振り返り理解するために、当社は、関連するすべての従業員をサイバーセキュリティの議論に参加すべきであるという「360°ヒューマンファクターモデル」を提唱します。

過去2年間だけでも、全体の4分の3を超える企業(77%)で少なくとも1件のサイバーセキュリティ侵害が発生し、最高6回もの侵害を受けた企業も多数ありました。しかし、これらのインシデントの原因に対する企業の捉え方には違いが見られます。また、インシデントへの対応も同様です。新しい自動化ツールへの投資が優先課題となっている企業もあれば、新しいITスタッフの採用に前向きな企業、あるいはセキュリティのアウトソーシングを検討している企業もあります。

サイバーセキュリティ研修もこういった戦略の一つではありますが、おそらく必須にはなっていません。特に、過去2年間に発生したインシデントの過半数以上(64%)が、人為的ミスによるものだったことを考慮すれば、そう言わざるをえません。

Redefining the Human Factor in Cybersecurity

サイバー脅威とその対応についてより深く理解するために、当社は「2023年ヒューマンファクター調査」を実施しました。これは、サイバーセキュリティのエコシステムを人の視点から明確化するための調査です。これは、一組織内の非IT系の従業員、IT担当、意思決定者を対象に調査が実施されました。また、調査対象者に対して、ベンダーやアウトソーシング先パートナーとの関係についても聞き取りと分析を行いました。それにより、360°の視点から見た「ヒューマンファクター」に関する分析結果が得られました。

このレポートでは、各種人口統計データを組み合わせて、多数のセクターや地域にわたって組織が直面している脅威対象領域(スレットサーフェス)の全体像を説明することに焦点を当てています。各グループの影響力を確認し、組織が脅威の現状をどのように認識し、対処しているかを調査しました。さらに、サイバーセキュリティへの現在の投資レベルと、意思決定者が将来的に改善が必要だと感じている分野について分析しました。「人」への投資は行われているのでしょうか。また、人の脆さと人的脅威の両方を回避するために最善の手段は「自動化」だと考えているのでしょうか?

当社は、あらゆる立場の人が、どのような手段で、いつ関与したとしても、組織が十分な回復力を備え、対策を講じるために必要となるセキュリティ水準を提示しようと努めています。

調査方法


リサーチ会社、Arlington Researchは、ITエンジニアおよびITセキュリティエンジニア1,260人への聞き取り調査を実施しました。この調査は、ブラジル、チリ、中国、コロンビア、フランス、ドイツ、インド、インドネシア、日本、カザフスタン、メキシコ、ロシア、サウジアラビア、南アフリカ、スペイン、トルコ、アラブ首長国連邦、英国、米国の19か国で実施されました。すべての回答者は、従業員100人以上の中小企業、または従業員1,000人以上の大企業で、マネージャー以上の職務に就いています。

主な結果


  • 77%の企業で過去2年間に少なくとも1件のサイバーインシデントが発生しました。
  • 75%の企業で、この期間に重大なサイバーセキュリティインシデントが発生しました。
  • 過去2年間のサイバーセキュリティインシデントの26%は、従業員による意識的な情報セキュリティポリシー違反によるものでした。これは、ビジネスのセキュリティに対してハッキングとほぼ同等の危険度となっています(回答者の30%がそのように回答)。
  • サイバーインシデントの14%は、情報セキュリティ部門の上級スタッフ(管理職)のミスによるものです。それに加えて、ミス全体の15%は一般的なITスタッフによるものとなっています。
  • 回答者の18%は、サイバーセキュリティのスキル不足が社内のインシデントの原因であると回答しています。この結果は、全体的な懸念の傾向にも反映されており、75%の企業が経験豊富なスタッフ不足を深刻な問題と捉えています。
  • 41%の企業は、サイバーセキュリティ分野への投資を増やすためのインフラ計画にギャップがあると感じています。
  • 21%の回答者は、十分なサイバーセキュリティ対策を講じるための予算がないと回答する一方、28%は潜在的な脅威に先んじて対応するための十分な予算があると考えています。

業界別の結果


金融サービス:情報セキュリティポリシー違反に対して脆弱

IT部門ではない従業員による情報セキュリティポリシー違反が原因のインシデントは、世界平均ではわずか8%でしたが、金融サービス業界では22%と、警戒すべきレベルに達しています。それに加えて、34%の回答者が、意識的な悪意のある行動が金融サービス業界ではかなり一般的な問題になっていると回答しています。

電気通信:教訓の多いセクター

電気通信セクターの3分の1以上(34%)の企業で、過去2年間に5件以上のサイバー侵害が発生しています。従業員の66%が35歳未満で、テクノロジーに精通しているとされている業界でありながら、他の業界よりも多くなっています。

情報技術(IT):非IT系の従業員が見落とされがち

IT業界も、35歳未満の従業員率の高い業界で、全体の54%を占めています。しかしながら、IT部門ではない従業員による人為的ミスによって発生した問題が、他のどの業界よりも多いという結果になっています(23%)。これはIT業界においても、IT部門ではない従業員のサイバーセキュリティ研修は必須だということを意味しています。セキュリティ関連の意識向上と理解を深めるためには、企業全体で取り組む必要があります。

小売:深刻な脅威にさらされるセクターであり、クラウド化に向かう

小売業界は、過去2年間では侵害の頻度はそれほど高くありませんでしたが、最も深刻な影響を受けた業界です。過半数(52%)が、「非常に深刻」か「極めて深刻」なインシデントが発生したことを認めています。そのため、このセクターではSaaSクラウドソリューションを導入することが優先課題となっています(他業界と比較して最高値の37%)。

製造:定期的なギャップを解決するための投資の機運

37%の製造会社で過去2年間に2~3件のサイバーインシデントが発生しており、この割合は他のセクターよりも多くなっています。このように厄介な状況が定期的に発生していることから、サイバーセキュリティのギャップを解決するための投資を目標としている主要セクターの1つにもなっています(50%)。

重要インフラ:スキル不足と情報セキュリティポリシー違反

スキル不足の影響は、重要インフラの産業部門である、電力、石油、ガス産業で最も顕著でした(24%)。過去、技術革新が遅れているという批判を多く受けましたが、サイバーセキュリティのスキル不足は現在も問題視されているようです。それに加えて、33%(セクターとして高い割合)の従業員が、IT部門ではない従業員の間で意識的な情報セキュリティポリシー違反が原因のインシデントが発生したと回答しました。

輸送・物流:高すぎる事故発生頻度

調査時点で、純粋な人為的ミスは、ハッキングの脅威をも上回る世界的に共通のリスクとなっています。しかし、その傾向は輸送・物流セクターで最も深刻であり、49%の回答者が、過去2年間で発生したIT部門内外の偶発的な人為的ミスとサイバーセキュリティ侵害の間に関連があったと回答しました。このセクターが既存のサイバーセキュリティのギャップを解決するための投資に高い意欲を示しているのも無理はありません(51%)。

サイバーセキュリティの発生状況


過去2年間、世界中の大半の企業でサイバーインシデントが1回以上発生しました。より高度なサイバー衛生の管理(サイバーハイジーン)や、回復力のあるセキュリティ関連のプロセスとテクノロジーの需要が高まっているにもかかわらず、77%もの企業が、セキュリティ侵害はいまだ頻繁に発生していることを認めています。

貴社で過去2年間にセキュリティ侵害を経験しましたか?

一部の地域では、さらに深刻な統計値が確認されています。たとえば北米では、過去24か月間にサイバーインシデントが全くない企業は15%しかありませんでした。CIS地域でも、多数のインシデントが発生した企業の割合が高く(17%の企業で6回以上の侵害が発生)、初期段階から保護が万全でない企業では適切な防御手段や解決策を迅速に決定するのが難しいことが示されています。アジア太平洋、中東・トルコ・アフリカの各地域もほぼ同様の割合になっています。

貴社は過去2年間にセキュリティ侵害を経験たことがありますか?過去2年間で発生したインシデントの数は…(単一選択)

他の地域の情報を見るには矢印をクリック

サイバーインシデントの「重大さ」も企業によって様々です。深刻度への質問に対して、世界全体では回答者の75%が、自社で発生した侵害が「深刻」またはそれよりも悪い状況であったことを認めました。さらに、このグループの中の4分の1が、インシデントが「非常に深刻」だと回答し、13%は「極めて深刻」であったと回答しています。

この調査での「重大さ」は、漏洩した機密情報に関連して、企業のレピュテーション(風評)、顧客からの信頼、企業の財務的立場に対する悪影響により判断しています。その上で、北米地域では88%の企業で、過去2年間にそのような悪影響をもたらす「深刻」な(またはそれよりも悪い)インシデントが発生したことは懸念すべきです。

それらのサイバーインシデントは自社にとって、どの程度重大なものでしたか?

他の地域の情報を見るには矢印をクリック

世界全体では、インシデントは驚くほど頻発に発生し、深刻な種類のものも多くなっていますが、懸念の度合いについては地域によって異なっています。中南米(38%)、CIS(35%)、欧州(31%)では、深刻でないインシデントの割合がやや高くなっていますが一方、アジア太平洋(87%)と中東・トルコ・アフリカ(83%)は、世界平均と比較して深刻なインシデントの割合が格段に高いという結果がでました。

過去2年間のサイバーセキュリティの状況は、全体的に見れば例年どおりであり、深刻な侵害が頻繁に発生しました。このような状況は、北米、アジア太平洋、中東・トルコ・アフリカで最も顕著ですが、まったく被害のなかった地域は存在しません。たとえば、欧州は全地域の中で最もインシデントの発生件数が少なくなっていますが、英国とスペインでは、発生したサイバーインシデントの深刻度が高かったと報告されています。英国ではサイバー侵害の88%、スペインでは70%が、程度の差はあれ「深刻」だったということです。一方、中南米のチリでは、サイバーインシデントの90%が「深刻」および「非常に深刻」だったと報告されています。世界のありとあらゆる地域で、インシデントが発生しただけでなく深刻でもあった企業が過半数を占めました。では次に、それらの組織が自社の防御手段のどこにギャップがあったと考えているかを明らかにします。

IT担当でない従業員:人為的ミスの要因


どのスタッフにも言えることですが、特に昨今の柔軟な働き方が求められる情勢では、IT担当でないスタッフも様々なデバイスを使用しています。職場でデスクトップを使用し、リモートワークでノートパソコンを使用するという組み合わせになる場合もあり、それらのデバイスからアクセスするための認証情報や、企業内で共有される機密情報が存在する場合があります。非IT系の専門スタッフは、サイバーインシデントにつながるミスを起こしやすいと一般的に考えられています。しかし、彼らは本当に組織内のサイバーセキュリティにとって一番の脅威の発端になっているのでしょうか。

Redefining the Human Factor in Cybersecurity

実際、一見したところ、過去2年間では他のどの要因よりも、偶発的な人為的ミス(38%)がインシデントの原因として高い割合を占めています。しかし、ミスの種類に関する説明全体を分析すると、侵害の人的要因には様々な側面があるようです。最も一般的なのは、「マルウェアをダウンロードしていた」です(28%)。ただし、選択可能な原因のほぼすべてが20%を超えています。「人為的ミス」として次に多いのが、「弱いパスワードを使用していた/パスワードを十分な頻度で変更していない」(25%)、「セキュアではないWebサイトにアクセスした」(24%)、「データ共有に不正なシステムを使用していた」(24%)です。

インシデントの原因となった従業員の行動とは?

サイバーインシデントの原因の一覧を見ると、従業員(特にIT部門以外の従業員)によるミスの発生確率を抑えるために検討すべき要因が非常に多いことがわかります。たとえば、「シャドーITのデプロイ」(11%)に対する組織間の懸念が深まっています。従業員がオフィスの外で仕事をする時間が増えており、リモートデバイス(仕事用、個人用のいずれも)の使用時も信頼できる必要があるためです。

これらの問題は、意識的というよりは偶発的に発生する可能性が高いことにも留意が必要です。IT部門以外の従業員による情報セキュリティポリシー違反を原因としたインシデントは8%に留まりました。ただし、金融サービスセクターは例外で、この業界でのIT部門以外のスタッフによる情報セキュリティポリシー違反は、サイバーインシデント全体の22%を占めています。一方で、34%は、意識的な悪意のある行動が(IT系、非IT系のいずれの従業員であっても)、かなり頻繁に発生する問題であると報告しています。

会社に対するインシデントの影響は?

偶発的な人為的ミスであれ、情報セキュリティポリシー違反であれ、その影響が深刻化する場合があります。3分の1のケースで機密情報が漏洩し、従業員だけでなく顧客も巻き込まれています。顧客はその漏洩時点から企業に対するロイヤルティを失うことになるでしょう。実際、25%の企業は侵害の発生後に企業のレピュテーションに打撃を受け、24%の企業は顧客からの信頼を失ったことを認めました。罰金の支払い(22%)も高い割合となりました。さらに、これらすべてを考慮すると、18%のケースで侵害の結果スタッフが解雇されたというのも驚くことではないでしょう。

従業員に対するインシデントの影響は?

従業員への影響については、発生したインシデントの23%で、従業員が解雇されるという結果になりました。「上級管理職からの厳重注意」(31%)、「事後の監視」(31%)、「罰金の支払い」(26%)、「降格処分」(25%)が比較的高い割合となりました。一方で、「追加トレーニング」(36%)が「罰則」としては最も高い頻度となりました。

当社の推奨事項は次のとおりです。

  • エンドポイントやそのユーザーはほとんどの攻撃の主な標的となるため、企業はそれらの保護に特に熱心に取り組み、保護強化オプションを追加することを検討する必要があります。Kaspersky Endpoint Security for BusinessおよびKaspersky Endpoint Security Cloudは、アプリケーションコントロール、Webコントロール、デバイスコントロールを提供しています。この機能は、未承諾のアプリ、Webサイト、周辺機器の使用を制限するものであり、従業員がシャドーITを使用している場合や、サイバーセキュリティを確保する習慣がないためにミスを犯した場合でも感染リスクを大幅に軽減できます。
  • 脆弱性およびパッチ管理などの保護強化オプションを備えたサイバーセキュリティ製品を導入しましょう。これらのオプションにより、システムやアプリケーションの脆弱性がない状態を維持できます。 Kaspersky Endpoint Security for Business AdvancedKaspersky Total Security for BusinessKaspersky Endpoint Detection and Response Optimumに搭載されているアドバンストアノマリーコントロール機能は、ユーザーまたは既にシステムの制御を乗っ取った攻撃者による攻撃が開始する「通常ではない」潜在的に危険な活動を防止できます。
  • アンチフィッシングの保護機能のあるソリューションを使用しましょう。Kaspersky Security for Mail ServerおよびKaspersky Security for Internet Gatewayのアンチフィッシング機能は、ソーシャルエンジニアリング攻撃によるおとり(マルウェア、フィッシングリンクによるもの、あるいは純粋に論理的なビジネスメール詐欺の例もあります)を、ユーザーに到達する前に検知してブロックできます。同時に、後者のWebアンチウイルスは、接触ポイントを従業員から取り除くことで、エンドポイントやそのユーザーに影響を及ぼす脅威のリスクをさらに軽減できます。
  • システムとのデータ転送が気づかないうちに無制限にできる状況にはリスクもあります。Kaspersky Endpoint Security Cloud、Kaspersky Security for Mail Server、Kaspersky Security for Microsoft Office 365では、この問題をデータ検出とコンテンツフィルタリング機能により解決できます。Kaspersky Security for Internet Gatewayは、コンテンツフィルタリング機能も提供しており、ネットワーク内のエンドポイントにおけるデータの性質、プラットフォームの保護状態、ユーザーの行動を問わず、未承諾のデータ送信を防止できます。
  • 従業員のセキュリティ意識を高めるために、Kaspersky Automated Security Awareness Platformのトレーニングを導入しましょう。このトレーニングでは、インターネット上での安全な行動について学ぶことができ、フィッシング攻撃のシミュレーション演習も用意されているため、フィッシングメールやその他のソーシャルエンジニアリング攻撃上のおとりに気づく方法を知ることができます。

IT専門スタッフ:スキル不足により高リスク


IT部門ではないスタッフの役割を調査した上記の統計情報では、これらの人々がセキュリティ侵害に大きな影響力を持っていることが示されています。しかし、そのような影響力を持つのは非IT系の専門スタッフだけでしょうか。人的要因の別の側面である、ITおよびITセキュリティの専門スタッフについても分析してみましょう。想定とは異なり、この調査の回答からは、ITおよびITセキュリティの専門スタッフもサイバーインシデントの原因になっていることが示されています。

Redefining the Human Factor in Cybersecurity

過去2年間で、上級ITセキュリティ専門スタッフによる故意でない人為的ミスが原因となったサイバーインシデントは全体の14%を占めていました。組織内の他のITスタッフが原因となったインシデントは全体の15%で、これは故意の違反であるという判断以前のものです。また、一般的に見れば低い数値ですが、インシデントの12%以上で、ITスタッフによる情報セキュリティポリシー違反が原因となっています。11%のケースでは、上級ITセキュリティスタッフが、そのような行動を起こしています。

上級ITセキュリティ専門スタッフ その他のITスタッフ IT部門ではないスタッフ
純粋な人為的ミス 14% 15% 16%
意識的な情報セキュリティポリシー違反 11% 12% 8%

専門スタッフのサイバーセキュリティに対する影響についてIT系、非IT系を比較すると差はほとんどなく、純粋な過ちのケースと意識的な行動のケースを合わせれば、IT系従業員は非IT系スタッフよりも高いリスクがあることが示されています。

ただし、これらは多くの組織が重視している統計値です。スキル不足(18%)は、トロイの木馬をインストールするハッカー(18%)と同等の影響力があると示されており、やはり特に企業という範囲内においては、人的要因は大きく扱われています。

貴社のサイバーセキュリティ分野において経験豊富なスタッフが不足していることにより、どのような影響が出ていますか?

世界全体では、4分の3の企業がサイバーセキュリティのスキル不足を、程度の差はあれ深刻な問題と受け止めています。ほぼ4分の1(24%)の回答者は、その問題が「非常に深刻」だと回答しました。アジア太平洋地域では、この割合が87%まで上がり、中東・トルコ・アフリカ地域でも近い割合となっています(85%)。また、この両地域では、ほぼ4分の1(アジア太平洋では24%、中東・トルコ・アフリカでは22%)の回答者が、この問題を「極めて深刻」だと捉えています。

前述のとおり、多くの企業にとってその解決策は「追加トレーニング」であり、回答者の36%が侵害の発生後にその行動計画に着手しています。将来に向けて、37%の組織ではITスタッフ向けの追加トレーニングを戦略の1つに定めています。これは、今後のサイバーセキュリティ侵害を予防するための他の手段よりも高い割合となっています。

将来に向けて、今後のサイバーセキュリティ侵害を予防するために最も重要なことは?

ただし、投資について直接質問したところ、追加のIT専門スタッフの雇用(35%)と全従業員を対象としたトレーニング(38%)も課題に挙げられますが、これらの2つの計画よりもアウトソーシング(41%)が上回りました。

今後1218か月間にサイバーセキュリティに投資する際に、最も可能性として高い投資先は?

この対象集団では、約4分の1(23%)がサイバーセキュリティをマネージドサービスプロバイダー(MSP)またはマネージドセキュリティサービスプロバイダー(MSSP)にアウトソーシングすることを目指していました。アウトソーシングはアジア太平洋地域(57%)で比較的高い割合の手段となっています。ただしこれは、研修の取り組み(71%)と並んで、バランスを重視した計画における手段の1つとなっています。すべての地域で、将来の投資に向けた優先順位としては、次のように考えられているようです。

  1. ツール
  2. 研修
  3. アウトソーシング

ただし、中南米に限り、IT関連部門をアウトソーシングするという考え方は30%未満まで落ち込んでいます。一方、欧州、CIS、アジア太平洋、中東・トルコ・アフリカの各地域では、アウトソーシングは追加のIT専門スタッフを採用するよりも好まれています。

今後1218か月間にサイバーセキュリティに投資する際に、最も可能性として高い投資先は?

他の地域の情報を見るには矢印をクリック

当社の推奨事項は次のとおりです。

  • 予算不足でサイバーセキュリティ製品の購入やITセキュリティ専任スタッフの採用が思うようにいかない中小企業でも、Kaspersky Endpoint Security Cloudであれば、IT管理者を1人置くだけで、数多くの自動化シナリオが用意されたコンソールで簡単に管理できます。
  • 業務上どうしても必要になるオプションだけに管理者権限を制限できる製品を導入しましょう。Kaspersky Endpoint Security for Businessは、Kaspersky Security Center管理コンソールの各項目に対するロールベースのアクセス制御機能を提供しており、すべての管理者にセキュリティ機能のフルコントロール権限を付与する必要はありません。
  • トレーニングに投資して、自社のITセキュリティ担当者のスキルを常に最新の状態に維持し、いつどんなサイバー脅威が起きても対処できるようにしておきましょう。Kaspersky Cybersecurity for IT Onlineトレーニングでは、IT全般を扱う管理者を対象に、シンプルながら効果的なITセキュリティのベストプラクティスとシンプルなインシデント対応シナリオの構築を支援し、Kaspersky Expert Trainingでは、企業のセキュリティチームが脅威への対処と影響軽減に関する最新の知識とスキルを習得できるようにし、極めて巧妙な攻撃からも組織を守れるようにします。
  • Kaspersky Professional Servicesを導入すれば、厳しい状況にいるIT部門の業務負荷を最適化できます。当社のエキスパートがお客様のITセキュリティの現状評価を行い、その上で当社のソフトウェアを迅速かつ適切に構成してスムーズな継続的パフォーマンスを実現します。また、カスペルスキープレミアムサポートにより、KasperskyベースのITセキュリティインフラのスピードと効率を向上させます。
  • マネージドセキュリティサービスで提供される専門技術を活用しましょう。たとえば、Kaspersky Managed Detection and Responseでは、企業のITネットワークからのテレメトリを24時間365日モニタリングして組織の全体的な保護レベルを引き上げるとともに、当社のエキスパートが提供するインシデント対応ガイドラインに沿いながら社内のプロセスとベストプラクティスを構築できるよう支援します。

決断の時:ギャップはどこにあり、何に予算を投入すべきか?


過去2年間でサイバーインシデントが発生した企業では、IT専門スタッフと同様に、意思決定者も責任から免れることはできていません。では、意思決定者は現在、十分な対策ができていると感じているでしょうか。回答者の18%は、脅威の検知に必要なツールが不足していたことがインシデントの原因であると考えており、16%はもっと一般的に、脅威の予防に着目できていなかったことが原因だと考えていました。意思決定者の決断はそのような状況で下されています。興味深いことに、回答者の15%は、サイバーセキュリティへの投資が十分でないことも自社の問題であると述べています。意思決定者が適切な戦略に着目できていないのでしょうか。あるいは、サイバーセキュリティの水準を引き上げる必要はないのでしょうか。

サイバーセキュリティ侵害に対して自社はどの程度保護されていると感じているか?

大半の回答者が保護されていると考えている一方、「非常によく保護されている」またはそれ以上だと感じている回答者は半数(49%)のみでした。もっと懸念すべき事柄はおそらく、12%が「あまり保護されていない」または「まったく保護されていない」と感じていることです。このグループは、毎日のように侵害やサイバーインシデントが発生することを受け入れざるを得ない状況に突入しています。

Redefining the Human Factor in Cybersecurity

CIS諸国はさらに警戒すべき状況であり、19%(約5分の1)は自社が「あまり」または「まったく」保護されていないと考えています。欧州(15%)もこの項目の世界平均を引き上げています。

それと比較すれば、北米(27%)、アジア太平洋(22%)、中東・トルコ・アフリカ(19%)は、自社が「極めてよく保護されている」と考えているという点において、世界平均を上回っています。これらの地域では欠点を指摘する回答者の割合も大きくなっており興味深いです。特に北米では、保護レベルが高いと考えられているにもかかわらず、過去2年間で深刻なインシデントが発生した件数が最も多くなっています。一方、アジア太平洋では保護レベルに信頼感があるものの、スキル不足が深刻な問題だとされています。

サイバーセキュリティ侵害に対して自社はどの程度保護されていると感じているか?

他の地域の情報を見るには矢印をクリック

統計値にこういった矛盾があることから、意思決定者が現時点で明確に可視化できていないと言える可能性があります。保護に対する全般的な感じ方が、必ずしもインシデントの発生件数と相関するわけではありません。

また、これまでの投資に対する認識も原因となっている可能性があります。回答者の半数は、自社内のサイバーセキュリティ対策の予算が、新しい脅威や潜在的な脅威への対応に必要な対策を行う分だけであると考えています。

貴社のサイバーセキュリティ予算について当てはまるものは?

一方、4分の1以上(28%)が、常に先を行くことができると考えています。これは、ほとんどの人が現時点で少なくとも保護されていると考えていることを裏付けています(ただし、侵害の程度から、実際はそうとは言えない場合もあるでしょう)。5分の1の企業(18%)では、意思決定者が使用できる予算は、新しい脅威や潜在的な脅威への対応に必要な対策を行うには不足しており、3%の企業では予算がまったくありません。

当社の推奨事項は次のとおりです。

    • 意思決定者には、サイバーセキュリティの重要性と脅威に先んじて対応するための最適な予算配分について理解を深めるべく、経営幹部向けの高度な研修としてKaspersky Interactive Protection Simulationを受講してもらうといいでしょう。
    • 専門家のサポートを受けることを検討しましょう。たとえば、Kaspersky Professional Servicesの評価サービスでは、顧客のシステム構成におけるセキュリティのギャップを特定し、Security Architecture Designでは、個々の企業にマッチしたITセキュリティインフラの構築を支援します。実装の各段階が現実のセキュリティニーズに基づいているため、意思決定者に対して予算配分を求める説得力のあるアピールができます。
    • 管理が容易なソリューションを使用しましょう。Kaspersky Endpoint Security Cloudは、中小企業や、当面は幅広いセキュリティ製品を揃える予算がないという企業向けのソリューションです。オールインワンのホスティング型SaaSコンソールで、簡単に習得できるシンプルなワークフローに沿って管理者1人でも幅広いサイバーセキュリティタスクを一元管理できます。
    • カスペルスキー公式ブログ(英語)の「Cybersecurity on a budget」(予算内でのサイバーセキュリティ)でも、中小企業向けにセキュリティを犠牲にせずにIT支出を抑えるヒントをご紹介していますのでご活用ください。

自社に合った解決策を探す:テクノロジーを重視


予算配分に関する上記の回答に従って、企業が今後12~18か月間にサイバーセキュリティに対してどのような投資計画を立てているかを確認することが重要になります。前述のとおり、研修とアウトソーシングは多くの集団の中で特に高い割合となっていますが、それらよりも新しいツールとテクノロジーを重視する傾向が上回っています。回答としては「脅威検知用ソフトウェア」が最も高い割合(40%)で、わずかの差で「サイバーセキュリティ専門スタッフ対象のトレーニング」(39%)、「一般従業員対象の研修」(38%)が続いています。総合的に見ると、ツール(71%)が優先的な投資先として圧倒しており、中南米ではこの割合は76%まで上昇する一方、アウトソーシング(28%)はあまり検討されていません。アジア太平洋(78%)では、すべての解決策が検討されている段階であるようです。

サイバーセキュリティのスキルやツールのギャップ解消に近づくために必要なことは?

サイバーセキュリティの防御に潜むギャップを解消するための最善策に関する質問では、ツールや新しいソフトウェアを重視する傾向が確認されました。最も割合の高い回答は、「サイバーセキュリティ全般への投資を増やす」(41%)で、それに加えてツール(ソフトウェア)の購入という具体的な目標も高い割合を示しました(3分の1)。

サイバーセキュリティの各要素を自動的に管理するソフトウェアツールの導入を検討していますか?

回答者の4分の1の企業では自動化ツールを既に導入しており、その約2倍(45%)の企業で、今後12か月以内にそのようなツールを導入する具体的な計画があります。その考えを見送った企業または自動化をまったく検討していない企業は9%しかありませんでした。

北米(32%)、中南米(28%)、アジア太平洋(27%)は、自動化ツールを既に導入している企業の割合が他地域よりも高く、これは現在の保護レベルに強い信頼感があることの裏付けと言えるかもしれません。ただし、北米はその可能性を検討しただけのケースでも、世界で2番目に高い割合を示しています。ここから言えることは、既に導入したケースと、すぐに導入する計画がないケースのいずれかに、大半の企業が当てはまるということです。他のすべての地域では、今後12か月以内に自動化ツールを導入する計画があるという中道の回答の割合が最も高くなりました。

サイバーセキュリティの各要素を自動的に管理するソフトウェアツールの導入を検討しているか?

他の地域の情報を見るには矢印をクリック

自動化ツールは人為的ミスによるサイバーセキュリティのリスクをどれだけ軽減すると思いますか?

自動化ツールが人為的ミスに関連するリスクの軽減に良い影響があるとは思わないという回答者は9%のみで、非常に多くの回答者(59%)が、(ゼロになるとは言わないまでも)リスクが大幅に軽減されると考えています。

北米では自動化に対する見方が両極端であり、リスクがなくなると考える人の割合が最も高く(12%)、一方で大きな影響はまったくないだろうと考える人も11%存在しました。中南米とアジア太平洋では自動化ツールの役割に対する信頼感が最も強く、各地域で、ツールを導入してもリスクへの大きな影響はないと考える人は7%しか存在しませんでした。一方、中東・北アフリカでは、自動化による効果が十分に得られるかは疑わしいと考えられているものの、自動化が人為的ミスのリスクをほぼゼロまで軽減するという強い信頼感を抱く人の割合も最高(14%)に達しています。

自動化ツールは人為的ミスによるサイバーセキュリティのリスクをどれだけ軽減すると思いますか?

他の地域の情報を見るには矢印をクリック

自動化は、現在、今年中、あるいは今後も支持され続けるでしょうが、企業は警戒を怠らずに歩みを進める必要があります。

サイバーセキュリティと人的要因に対する修正されたアプローチ


全体的には、自動化はサイバーセキュリティのレベルを引き上げて企業をより効果的に保護するために不可欠なツールであることが明確に認識されていました。ほとんどのケースで、自動化についての議論が既に行われており、多くのケースでその導入も開始されています。一部の地域では、自動化への投資により、全般的なサイバーセキュリティ保護に対する強い信頼感が生まれています。

一方で、いまだに世界中で相当な数のインシデントが発生していることから、その信頼感については少し加減する必要があると言えます。新しいテクノロジーに対して投資している時にはリスクの発生源について忘れがちですが、自動化を行うことで「人」が作業プロセスから排除されるわけではありません。そして、企業の規模にかかわらず、人こそが、サイバー防御に対する最大のリスクを生み出してきました。

Redefining the Human Factor in Cybersecurity

だからこそ、自動化と並行して、非IT系のスタッフとIT専門スタッフの両方に対して、継続的に研修を実施する必要があります。研修は投資計画に組み込む必要があり、その投資計画では、エンドポイントの保護、インターネットやメールゲートウェイの安全性確保を行うソフトウェアや、直接的な専門コンサルティングサービスの提供についても対象とする必要があります。予防、検知、対応の相互作用によってソリューションのエコシステムが形成されるような総合的なマトリックスに研修を組み込むことが必要です。そして最も重要なこととして、すべての投資を通じて、非IT系のスタッフとIT系スタッフの両方を対象とする必要があります。

人為的ミスへの対策に役立つツールは前進するための不可欠な一歩となりますが、それにより従業員の研修やスキル開発が不要になるわけではありません。結局のところ、企業の外部に潜伏しているすべての脅威もまた人によるものです。ハッカーは常に企業の技術革新よりも速いペースで攻撃し、ソフトウェアだけでなく、ミスを犯しがちなスタッフも悪用しようとしています。だからこそ、サイバーセキュリティの次のフェーズを明らかにする際には人的要因全体を考慮に入れる必要があります。それが脅威の情勢全体を、最も身近なところから始めて360°の視点で把握するということです。