サイバーセキュリティは、保護以上のものでしょうか?

!{LinkedContent-author-by}

Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.

5 !{ArticleDetails-ReadTime} 2018.10.10

!{ResourceList-Close}

当社の2018年‐2019年グローバル情報セキュリティサーベイから、サイバーセキュリティ費用が増加していることが分かりますが、組織としてさらなる措置を講じる必要があります。

昨年は、一連の大規模なサイバーセキュリティ侵害と今も続く国家主導の介入に対する逆襲が組織を揺るがした一年でしたが、今年のEYグローバル情報セキュリティサーベイ(GISS) から、サイバーセキュリティが引き続き役員会議の議題に上っているがわかります。組織は、サイバーセキュリティにより多くの費用を費やし、防御を強化するためにより多くの資源を投じ、セキュリティ・バイ・デザインを埋め込もうと熱心に取り組んでいます。

簡単なことではないのです・・・それを認識していますか?

Eメール詐欺

6.4b

全世界で送信されたフェイクメールの数 - 毎日 [1]

データ侵害

1.9b

2017年1月から2018年3月までの間に不正侵入された個人データおよび機密データの記録 [2]

古いソフトウェア

50%

サポート期限の切れたサーバーソフトウェアを使用しているイギリスの地方自治体 [3]

人為的ミス

1,464

合衆国の一つの州の中で、パスワードに「パスワード123」を使用している政府職員の数 [4]

デジタル・アストロターフィング

2m

米国のネット中立性調査の間にフェイクコメントを行う目的で使用された盗まれたID [5]

ソーシャル・エンジニアリング

550m

2018年第1四半期中に単一のキャンペーンによって送信されたフィッシングメール [6]

高額のコスト影響

362万米ドル

昨年のデータ侵害の平均コスト[7]

課題は、企業が3方面へ前進することです。

しかしながら、サーベイの結果から企業がさらに多くの手を打たなければならないことが読み取れます。4分の3以上(87%)の組織が、彼らが求めるサイバーセキュリティとレジリエンスの水準を達成するための十分な予算を確保していません。継ぎはぎ的な保護策を講じるにとどまり、総体的に見てほとんどの企業が高度なケイパビリティを優先しておらず、サイバーセキュリティが自己中心的で孤立している場合が非常に多いようです。

1. 企業を守る

当社の分析から、大多数の組織(77%)がいまだにごく限られたサイバーセキュリティとレジリエンスだけで事業活動をしていることが分かります。それらの組織は、自組織の最重要な情報や資産が何で、どこにあるのかということさえはっきりと把握していない可能性があり、これらの資産を保護する適切な措置を講じていません。

いまだに遅れているサイバーレディネス

77%

いまだにごく限られたサイバーセキュリティとレジリエンスだけで事業活動を行っている組織

こういうわけで、多くの組織が引き続きサイバーセキュリティの基本中の基本に取り組むことが重要なのです。まず組織がすべきこと:

  • 重要なデータと知的財産(「重要資産」)の特定
  • サイバーセキュリティ・ケイパビリティ、アクセス管理プロセス、およびその他の防御策のレビュー
  • 企業を守るシールドのアップグレード

2.サイバーセキュリティを最適化する

今年のGISSから、77%の組織が基本的なサイバーセキュリティ保護措置の実施にとどまらず、自己のケイパビリティを微調整していこうとしていることがわかります。これらの組織は、サイバーセキュリティの核となる部分への取り組みを継続していますが、同時に、事業をより効果的かつ効率的に支援していこうと自組織のサイバーセキュリティの枠組みと構造を見直しています。そのような取り組みの一環として、組織の重要な資産とデータのセキュリティを強化するAI、ロボティック・プロセス・オートメーション、解析その他の検討、実施があります。

目下のところ、大きな改善余地があります。自組織のセキュリティ機能が現在そのニーズを完全に満たしていると答えた企業は1割にも満たないのです。多くの組織が、不可欠な改善にいまだ取り組んでいないことを懸念しています。小組織はさらに後れを取っています。大組織の78%が、情報セキュリティ機能が少なくとも部分的に自組織のニーズを満たしていると答えている一方、小組織ではその割合は65%に落ち込みます。

サイバー犯罪者はその標的を増やしており、そのわなにかかる代償は大きいのです。最近の攻撃では、インディアン銀行のATMサーバーにハッカーがマルウェアを仕掛け、ATMから不正な引き落としをしたことによって、同銀行は9億4400万ルピー(1,350万米ドル) を失いました。8

3.成長を実現させる

組織は、今、サイバー・リスクを管理し、初期段階からサイバーセキュリティを組み込むことが、デジタル時代で成功するために不可欠であると確信しています。今、サイバーセキュリティがいかに企業の成長を支援し、実現するかということにも注目すべきです。その目的は? セキュリティを初期段階から事業プロセスに統合し、組み入れ、すべての人にとってより安全な職場環境を構築することです。新たなテクノロジーに注目が集まる中、セキュリティ・バイ・デザインは基本原理となるはずです。

企業は、デジタル変革の旅へと踏み出しました。おのおのの変革の性質は組織によって異なりますが、それらの性質には、次の構成要素の一つまたは複数が含まれます。

これらの目標を達成するために、組織には、断片的で後手の対応ではなく、革新的なサイバーセキュリティ戦略が必要です。顧客体験が重要な検討課題とならなければなりません。

以上で見てきた三つの必須事項は、同時に達成されなければなりません。私たちEYは、今年のEYグローバル情報セキュリティサーベイ(pdf)で、これらのトピックを掘り下げます。全世界でのセキュリティ侵害の頻度と規模を見れば、最も基本的なセキュリティ対策ですら実施していない企業があまりにも多いことがわかります。

しかしながら、遅れまいと奮闘している企業もまた、セキュリティを最適化し、自らの成長を支援すべく、現行の防御策を微調整し、さらに前へと進んでいく必要があります。デジタル変革の課題によって、 組織は、– しばしば非常に速いペースで – 新たなテクノロジーと新たなビジネスモデルの採用を強いられていますが、サイバーセキュリティが成長の重要なイネイブラーとなる必要があります。

  • サーベイの方法

    EYグローバル情報セキュリティサーベイ第21回アニュアル・エディションでは、世界で最も大きくかつ有名なグローバル企業の多くを代表する1400人以上の経営幹部レベルのリーダー、情報セキュリティ・ITエグゼクティブ/マネジャーの回答を取り込んでいます。サーベイは、2018年4月から7月にかけて行われました。

    「大組織」は、本報告書では、年間収益10憶米ドル以上の組織を指します。このグループは、本サーベイの総回答数の3分の1を占めます。「小組織」は、本報告書では、年間収益10憶米ドル未満の組織を指します。このグループは、本サーベイの総回答数の3分の2を占めます。

  • 参考記事を読む#参考記事を読まない

    1. Dark Reading 2018年8月27日[https://www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
    2. Chronology of Data Breaches 2018年3月[https://www.privacyrights.org/data-breaches]
    3. Computing 2018年8月23日[https://www.computing.co.uk/ctg/news/3061558/fifty-per-cent-of-councils-in-england-rely-on-unsupported-server-software]
    4. The Washington Post 2018年8月22日[https://www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool/]
    5. Naked Security 2018年5月24日[https://nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
    6. Dark Reading 2018年4月26日[https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
    7. Ponemon Institute 2017年7月[https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
    8. Info Security 2018年8月16日ttps://www.infosecurity-magazine.com/news/indian-bank-loses-135m-in-global/]

!{ArticleSummary-Heading}

サーベイから、サイバーセキュリティが引き続き役員会議の議題に上っており、10社のうち7社が自社の経営管理チームがサイバーセキュリティについて包括的に理解していると述べていることが分かりました。組織は、サイバーセキュリティにより多くの費用を費やし、防御を強化するためにより多くの資源を投じ、セキュリティ・バイ・デザインを埋め込むために熱心に取り組んでいます。

しかしながら、サーベイの結果から企業がさらに多くの手を打たなければならないことが読み取れます。87%の組織が、彼らが求めるサイバーセキュリティとレジリエンスの水準を達成するための十分な予算がないと回答しています。継ぎはぎ的な保護策を講じるにとどまり、総体的に見てほとんどの企業が高度なケイパビリティを優先しておらず、サイバーセキュリティが自己中心的で孤立している場合が非常に多いようです。 

!{AboutThisArticle-Heading}

!{LinkedContent-author-by}

Paul van Kessel

Former EY Global Advisory Cybersecurity Leader

Boardroom cybersecurity discussion leader. Values simplicity in language. Enjoys sports and travel. Proud father of a daughter and a son.