CompTIA、2018年サイバーセキュリティの動向調査を実施 アメリカ企業における最新のセキュリティトレンドを発表 ~最新トレンドは社内外での効果的な セキュリティチームの構築すること~
ワールドワイドで100ヵ国以上の国と地域で取得されている認定資格を提供するCompTIAは2018年サイバーセキュリティの動向調査を実施し、アメリカ企業における最新のセキュリティトレンドを発表いたしました。(米国は9月発表)
全文は、こちらからダウンロードいただけます。 https://www.comptia.jp/about/library/
2018 Trends in Cybersecurity - Building Effective Security Teams
サイバーセキュリティの動向:効果的なセキュリティチームの構築
サイバーセキュリティがその複雑さを増すにつれ、これまでの方法では、企業データの保護や個人情報の取り扱いといったような、広範な課題に対応しきれなくなっています。
現在、セキュリティに関しては、新たなテクノロジー、プロセスの向上、広い意味での人材教育が求められています。新しいアプローチを取るにあたっては、組織内での文化を変える必要がありますが、それだけでなく、多様なスキルセットも求められます。企業が、このデジタル時代に求められるセキュリティに対応できる専門性を培うためには、セキュリティチームを立ち上げ、社内外の人材を活用することになります。このリサーチでは、そのための方策を検討していきます。
【KEY POINTS: キーポイント】
ほとんどの会社で、サイバーセキュリティ活動の主要部分は社内で行われています
通常のITインフラチームの一部であれ、またはセキュリティ専門職であれ、セキュリティ人材を擁する会社の72%が、企業オペレーションのためのセキュリティセンターを、社内でもつ機能だと考えています。サイバーセキュリティがオペレーションや評判に大きな影響力を持つようになっているため、企業は当然、いろいろなことに目を配ろうとしているわけです。
内部対応をしている企業でも、そのほとんどが外部の力を借りてサイバーセキュリティに取り組んでいる
社内にセキュリティ人材を抱える企業のうち、78%がセキュリティ対応のために外部組織を使っています。特定のセキュリティ活動に関して、外部企業と継続的な契約を結んで行っている場合もありますし、個々のプロジェクトごとに適宜、外部組織を使う場合もあります。実際、外部のパートナーを使用している企業の半数が、セキュリティ目的のために2社、3社という異なる会社を使っています。このことからも、セキュリティがいかに複雑なものかがわかります。
サイバーセキュリティのスキル向上が必要
企業の中で、アクセスコントロールやネットワークセキュリティなどの特定スキルは、比較的強力に取り組まれていますが、脆弱性管理やセキュリティ分析などの他のスキルはまだまだです。しかし、強力なスキルの中にも、企業としてさらに向上を図ろうとしているものがあります。例えば、ネットワークセキュリティを大幅に向上することが必要だと感じている企業は25%ですし、さらに、64%が中程度の改善が必要だと考えています。
必要なのは、サイバーセキュリティへの取り組みと成功度を定数管理する強力な測定基準
セキュリティへの取り組みに測定基準(メトリックス)を多く活用している企業は21%しかありません。セキュリティが防御戦術から積極的な取り組みへと移行していく中、「公式なリスク評価を行ったシステムの割合」や「異常フラッグが立ったネットワークトラフィックの割合」などといった測定基準が、成功度を計測するのに役立つだけではなく、今後どこにコストをかけていくのかという判断にも活用できます。
現在のセキュリティ対応への満足度
CompTIAからの提言
外部人材の活用
多くの企業が、サイバーセキュリティに関連した活動に内部人材を充てることを考えていますが、外部人材は複雑性の高い分野で活躍を続けています。自社でセキュリティ人材を確保している企業のうち、78%が何らかの形で外部を使っています。外部を継続的な連携体制で使っていると企業と、プロジェクトごとに使っている企業の数は、ほぼ半々です。このことは、ITセキュリティ実装や管理に特化した企業に幅広い機会があることを示しています。
外部利用機会について企業規模による差異がほとんどないことには驚かされます。実際のところ、大規模企業ほど、セキュリティへの取り組みに際し外部の支援を使うことが多くなっています。時折のプロジェクトにおいて、外部の使用状況は一定しています。
しかし企業が外部セキュリティ人材を使用しているか否かに関わらず、対処しなくてはならない課題がいくつかあります。第一に来るのは、外部を使うことに伴うコストです。ITオペレーションにとってコストは典型的なハードルですが、セキュリティがビジネスに投げかける問いには興味深いものがあります。セキュリティがビジネスオペレーションへの重要度を増すにつれて、セキュリティ環境がより複雑になるのであれば、セキュリティの現行のコストは以前のレベルよりも高くなって当然、という主張ができるわけです。
内部セキュリティ人材を持つ企業における外部の活用
外部セキュリティ会社使用における現在/今後の課題
セキュリティチームをより効果的に
現代のセキュリティに関して、組織としてはまず、目的はもはや理想的防御の構築ではないという理解を持つことが重要です。セキュアなパラメータの実装と維持管理は変わらず必要なタスクですが、それだけではもはや十分ではありません。クラウドコンピューティングとモバイルデバイスによって、新たなモデルを必要とする業務フローとデータストレージ技術が導入されることになります。そして攻撃が間断なく続くものであることを考えると、完全な予防は目的としてあまり意味をなさなくなってきます。このため、企業は強力なセキュリティ状況を確実にするため、より先手を打つ方法に目を向けています。
ビジネス関連部門の多くの従業員には区別できないかもしれません。彼らにとってセキュリティとは、未だに「便りがないのはいい便り」といったものなのです。IT専門家の方が、現行のプロアクティブなステップ(先手を打つ事前予防型)を理解していますが、それでも実際にプロアクティブアプローチを重点的に行う形に移行しているケースはまだ少数派です。まだ初期段階にある、教育ニーズおよび侵害を監視する継続的ビジランス(警戒)を考慮すると、今後のセキュリティへの取り組みは、先手を打つ方策にかなり重点が置かれることになりそうです。
セキュリティが継続的活動であるという認識を持つことが重要です。なぜなら、この認識によって行動や投資への決定がなされるからです。セキュリティがどう機能するかを正しく理解することにより、組織としてセキュリティチームを強力で有能にするために必要な行動を取ることができるようになるからです。
単なる防御から転換するセキュリティのマインドセット
有効なセキュリティチームに向けての組織的ステップ
CompTIA日本支局 リサーチデータを受けての日本における考察
企業では、セキュリティの複雑さの中で、効果的なセキュリティチームを作るための新たな検討を進めるといったフェーズになっています。特に、ITが今や新たな考え方や行動を牽引する戦略的行動であると理解している企業や、デジタルトランスフォーメーションを進める企業では、この傾向はより一層強くなっています。
私の今までの経験では、日本は2~3年遅れて米国のトレンドに理解を示す程のタイムラグがあると感じています。本調査の参加企業の多くは米国企業ですが、このレポートからも、サイバーセキュリティが単なる防御戦術ではなく、積極的にビジネスチャンスを狙う上での後押しとなりえることが理解いただけると思います。多くの日本企業が、「攻め」ながら「守る」人材や体制を作る上で役立てていただけるでしょう。
板見谷 剛史(いたみや つよし)プロフィール
CompTIA日本支局 シニアコンサルタント。1996年某専門商社に入社後、企業や教育機関に対するITインフラの提案や導入に携わる。当時の教育機関のマルチメディア教育の立ち上げをきっかけにCompTIA認定プログラムと出会い、2001年CompTIA日本支局設立と同時に入局。国内会員機関の人材育成支援、全国でのセミナー・イベントなどの企画や普及活動を行っている。
CompTIA日本支局 シニアコンサルタント 板見谷 剛史
【CompTIAについて( http://www.comptia.jp )】
1982年、様々なIT規格の標準化を提言するため、ITベンダーとパートナー企業がオープンな対話を行う場なるべくグローバルなIT業界団体としてシカゴで設立。1990年、IT業界の活動を反映するべく、名称をCompTIA(the Computing Technology Industry Association)に変更。欧米を中心とし10拠点に拡大し、2001年4月にCompTIA日本支局を設立。
2018年現在、CompTIAは、ICT業界を中心にした2,000社以上のメンバー企業、3,000社以上の学校機関、トレーニング関連の企業とのパートナーシップを締結し、数万人を超えるITプロフェッショナルのコミュニティを運営しています。IT業界団体として、ITハードウェア/ソフトウェア、サービスを提供する企業や、業界のキーとなるITプロフェッショナルなどの成功と成長に貢献できるよう、ITに携わる企業や個人の利益を高めるための「教育」、CompTIA認定資格での「認定」、IT業界の声を反映しIT政策に反映するための「政策支援活動」、IT業界への「社会貢献」の4つを柱として活動を続けています。