現場と連携するセキュリティ責任者は8倍有能!? テナブルが調査結果を報告:IoTセキュリティ
Tenable Network Security(テナブル)は、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。
Tenable Network Security(以下、テナブル)は2020年8月6日、調査会社のForrester Consultingと共同で実施したセキュリティ業界の調査レポートを発表した。世界各国の800人以上の事業責任者およびセキュリティ責任者を対象に実施したもので、テナブルとしては初の試みとなる。
今回の調査は、世界各国の事業責任者425人、セキュリティ責任者416人、総計841人が対象で、これらのうちアジア太平洋地域からは200人以上、日本からは51人が参加しているという。
レポートのタイトルは「ビジネスと連携したセキュリティ責任者の台頭(The Rise of The Business-Aligned Security Executive)」となっており、事業を推進する現場サイドと連携の取れているセキュリティ責任者と、そうでないセキュリティ責任者の間で顕著な差がみられたことが大きな特徴となっている。Tenable Network Security Japan カントリーマネジャーの森屋幸英氏は「企業における事業責任者とセキュリティ責任者の意識が合わない、足並みがそろわないという課題は指摘されてきたが、今回の調査ではセキュリティ責任者の10人中4人(約4割)が現場としっかり連携できており、連携できていないセキュリティ責任者と比べて大きなパフォーマンスの差が出ていることが分かった」と説明する。
事業責任者とセキュリティ責任者の間で起きているすれ違い自体は完全に解決されているわけではない。事業責任者は、サイバーセキュリティの脅威をビジネスリスクというコンテキストで知りたいと考えているが、そういった要求に対応できているセキュリティ責任者は半数以下にとどまっている。森屋氏は「例えば、新型コロナウイルス感染症(COVID-19)への対応について、全体の96%が対応戦略を実施したと回答している一方で、事業サイドとセキュリティサイドの足並みが『そろっている』『ややそろっている』という回答が75%に下がってしまった。この数字の下落は、すれ違いを顕著に表している」と語る。
事業サイドと連携が取れているセキュリティ責任者は、調査に対して以下のような回答を行っている。「サイバーセキュリティイニシアチブをビジネスと連携させる」「脅威を見つけ、予測することに自信を持っている」「脆弱性アセスメントに対し積極的な取り組みを行う」「ビジネスステークホルダーとともにサイバーセキュリティの目的とメトリックがビジネスにおける必要性と連携しているか確認する」「対内・対外的に、サイバーセキュリティパフォーマンスをベンチマークできる」「サイバーセキュリティへの投資の重要性を示すことが可能」などだ。連携が取れていないセキュリティ責任者との違いは歴然としており、「セキュリティとビジネスが連携を取れた時に、明白でポジティブな効果を示すことが可能なことが分かった」(森屋氏)という。
この「明白でポジティブな効果」についても、事業サイドと連携が取れているセキュリティ責任者104人と、そうでないセキュリティ責任者104人をサンプルにした調査結果の中で示されている。例えば、「私たちはどれくらい安全なのか、またどれくらいリスクにさらされているのか」という質問に対して、事業サイドと連携が取れているセキュリティ責任者は、そうでないセキュリティ責任者と比べて8倍の自信を持って回答できるという結果になった(テクノロジー、プロセス、データの3項目についての調査結果を総合しての比較)。
他にも、組織全体へのアタックサーフェスの全体的な理解で3.3倍、技術的な判断へのビジネスコンテキストの利用では3.3倍、パフォーマンスメトリックのビジネスステークホルダーとの見直しでは6倍という顕著な差がみられた。
森屋氏は「事業サイドと連携が取れていないセキュリティ責任者は、サイバー攻撃などが起こった時の火消し役、インシデントレスポンスにのみ集中している。このため、脅威の発見や予測に対して限られたリソースしか使えず、脆弱性アセスメントにもリアクティブなアプローチしかとれていない。これからの企業の将来は、事業サイドと連携したセキュリティ責任者にかかっているといえるだろう」と述べる。
製造分野におけるサプライチェーンへの攻撃が強まる
この他、日本の対象者51人に対する調査結果についても報告があった。日本では、直近12カ月以内に企業に影響を及ぼすサイバー攻撃または不正侵入を受けたという回答が99%、5件以上の攻撃を受けたという回答は55%に上った。「今回の調査結果を国別で見た中では断トツに多い」(森屋氏)という。また、81%が過去2年間でサイバー攻撃の増加を実感しており、84%が今後2年間でサイバー攻撃が増加すると想定している。
また日本企業は、サイバー攻撃によってどのような影響を受けたかという質問に対して「株価の下落」が46%、「従業員の離職」が42%、「知的財産の窃盗」が40%となり、他国と比べて高い割合になった。
森屋氏は、企業に影響を及ぼす世界的なサイバー攻撃として「COVID-19に関連したマルウェアおよびフィッシング」「詐欺」「情報漏えい」「ランサムウェア」「ソフトウェアの脆弱性」の5つを挙げた。特に、「COVID-19に関連したマルウェアおよびフィッシング」では、金融分野における悪意のあるメールによる攻撃と、製造分野におけるサプライチェーンへの攻撃が強まっているとした。森屋氏は「IPA(情報処理推進機構)も指摘している通り、サプライチェーンへの攻撃が増えている。近年はITとOT(制御技術)の融合が進むことで、サイバー攻撃を受けやすくなっている側面がある」と指摘した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。
WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。
工場をサイバー攻撃から守るために、「サイバーエクスポージャー」を理解せよ
生産拠点のスマート工場化を進める製造業企業が増える一方で、サイバー攻撃によって生産活動の中断に追い込まれるなど新たなリスクが目につく。差し迫るサイバー攻撃のリスクに対し、製造業はどのように立ち向かえばよいか。TenableでCPO(最高製品責任者)を務めるOfer Ben David氏に聞いた。
自動車セキュリティは義務的作業ではなく、イノベーションを促進する土台だ
コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。
SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視
クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electricにおける最新事例を明かしている。
ランサムウェアを未然につぶす、つながらない古い機器を狙う脅威も可視化して分析「Tenable.io」
脆弱性スキャナー「Nessus」を開発するテナブルは、クラウド型脆弱性管理プラットフォーム「Tenable.io」を国内で本格展開する。同製品は、社内ネットワークやインターネットにつながった機器やシステムだけではなく、クラウド上のアプリケーションや、コンテナ、インターネット接続されていない機器まで管理対象に含め、それぞれの脆弱性や対処すべき優先順位を分かりやすく可視化し、かつ経営判断で利用しやすくレポーティングする仕組みを備える。