多くの企業がサイバーセキュリティを優先課題のトップ5として挙げている。しかし、重要性を認識しながらも、その対策は十分とはいえないのが実際のところだ。企業の建前と本音の狭間を考察する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
多くの企業が今、厳しい現実に直面している。サイバーセキュリティのリスクを完全に排除できる方法が存在しないためだ。しかし、企業はさまざまな措置を講じることで、攻撃に対する防御が可能だ。万が一、攻撃に遭遇しても、その影響を軽微に抑えることができる。マイクロソフト社とマーシュ社が最近実施した調査からは、企業がこういった課題をどのように受け止めているのかを見てとれる。
2019年におこなわれた「Global Cyber Risk Perception Survey(サイバーリスクへの認識に関するグローバル調査)」の回答者のうち79%は、サイバーセキュリティを最優先課題として考えているものの、課題解決の最善策がよくわからないと答えている。さらに、世界のビジネスリーダー1,500人への調査では、対象企業のうち約4分の1はサイバー攻撃を受けた場合、その対応と回復に「自信がない」と吐露している。
同調査の2017年版の結果と比較すると、企業全体がサイバー攻撃に対する自信を失いつつあることが読みとれる。そして、その自信喪失の状態が、サイバー攻撃の脅威への備え、その評価、理解といったサイバーレジリエンスという他の重要な分野にも影響が及んでしまっている。企業は世界的な進化をキャッチアップしていくためにも、新しいテクノロジーの採用が不可欠といえる。しかし、企業は適切にセキュリティを確保し、新しいテクノロジーを活用していくことに不安を覚えている。企業の努力をまるであざ笑うかの如く、サイバー犯罪者はその対策を上回る一手を繰り出してくるからだ。
対象企業のうち74%はリスク評価の後に、新しいテクノロジーを採用するに至っている。一方、54%の企業が新しいテクノロジーを採用した後に、リスク評価をしている。この数字を見て安心と捉えるのは少し早計かもしれない。新しいテクノロジー採用の前後ともにリスク評価を実施した企業は全体の36%にとどまった。また、全ステージでリスクを評価した企業はわずか5%であり、全く評価していない企業も11%存在したのだ。
当然ながら、企業は新しいテクノロジーに潜んでいるリスクを考慮し、採用を断念することもある。採用することで得られる利益よりもリスクが大きいと見込まれるためだ。調査によると、こういった企業は23%に達している。
次に、企業とサードパーティベンダーとの信用問題について取り上げてみよう。一般的に、こういった当事者間の信用はある程度保たれている。「ベンダーはその製品のセキュリティを確保するために適切な措置を講じており信用できる」と答えた回答者は32%であった。しかし、回答者の40%は「信用しているが、検証する」と答えている。こういった企業はベンダーの主張するセキュリティ対策を鵜呑みにせず、常に必要な予防策を講じ、自らデューデリジェンス *1を実施している。
*1 主に投資関連で使われるが、ここではセキュリティ対策の実施にあたってリスクを調査することを意味する
サイバーセキュリティを最優先課題として取り組みを始める企業は増加している。しかし、サイバーセキュリティに対する意識と実際の取り組み方の間には、まだまだ大きなギャップがあるのが実状だ。上記調査の数字からも、企業の大部分はサイバーセキュリティに適切な対応をとらず、サイバーセキュリティのリスクを過小評価してしまっている。増加傾向にあるサイバーセキュリティの脅威に対抗するためにも、世界中の多くの企業が十分な備えを整えなければならないのは言うまでもないだろう。