世界のCISOは、自社のセキュリティのために何を考え、どう行動しているか:大規模調査から得られた知見
世界13カ国に及ぶ2800人のセキュリティ責任者を対象とした調査からは、苦悩しながらもさまざまな選択肢を模索し続けるCISOの姿が浮かび上がってくる。今、世界のCISOは、自社のセキュリティについて現実的な最適解をどのように考え、どう行動しているのだろうか。
企業や公的機関のセキュリティを巡る状況は、厳しさを増している。大規模なハッキングや情報漏えいの事例が後を絶たず、危機感が増している。
こうした中で、企業や組織のセキュリティを守る責任者であるCISO(最高情報セキュリティ責任者)は、何を考え、どう行動しているのだろうか。Cisco Systemsが世界13カ国(日本を含む)に及ぶ2800人のセキュリティ責任者を対象に実施した調査をまとめた「2020年シスコ最高情報セキュリティ責任者(CISO)ベンチマーク調査レポート(Cisco 2020 CISO Benchmark Report)」からは、苦悩しながらもさまざまな選択肢を模索し続けるCISOの姿が浮かび上がってくる。
同調査はCiscoが毎年実施しているもので、今回が6回目。以下では調査の内容を一部紹介する。
セキュリティ予算をどう確保し、配分しているか
まず、セキュリティに関する予算を、どのような物差しで決めているか。今回の調査では、「成果ベースの目標と基準」に応じて行っているとした回答が、2019年比で約14ポイント増の61%を占め、「前年の予算」をベースとするという回答を大きく上回って首位となった。
関連して、2019年に比べるとアウトソーシングが大きく増加している。理由の第1位はコスト削減だが、「セキュリティチームがインシデントに対して迅速に対処できるようにするため」もほぼ同数の回答を集めた。今後は、アウトソーシングの割合が減少すると考える組織が多い。
サイバーセキュリティ対策のライフサイクルは、「(セキュリティ脅威の)特定」「保護」「検出」「対応」「回復」の5カテゴリーに分けられる。こうしたカテゴリー別にセキュリティ予算の割り振りを聞いたところ、支出額はこの順序通りだった。2019年との比較で、唯一大幅に伸びたのは特定に関する支出で、支出額の21%から27%に増加した。保護、検出はほぼ不変、対応、回復は微減だった。
特定、保護、検出は「予防」、そして対応、回復が「事後対処」だとすれば、2019〜2020年の変化として、「予防の重視」を指摘できる。ただし、これまでの調査では、回答が毎年振り子のように揺れ動いている。企業が予防と事後対処の最適なバランスを常に模索していることがうかがえる。
10万件を超えるデータ侵害を受けたことのある企業は19%に上る
調査対象の企業にとって、セキュリティ侵害は現実のものだ。最も深刻なデータ侵害によって10万件を超えるデータが影響を受けたことのある組織は、2019年には15%だったのに対し、2020年は19%以上に増えた。
「過去1年間に対応した最も深刻なセキュリティ侵害によるシステムのダウンタイム」について聞いたところ、企業規模によって明確な違いが出た。従業員1万人以上の規模では、1〜4時間のダウンタイムで済んだ企業が48%を占め、「5〜16時間」「17〜48時間」を上回った。一方、従業員が250〜499人規模では、「5〜16時間」かかったという回答が45%で、「1〜4時間」「17〜48時間」よりも多かった。
これは企業規模が大きいと、対応や回復の作業に、より多くのリソースを投入できることからきていると考えられる。
重大な侵害により受けた被害の内容を聞いた質問では、「運用」が最も多く、次いで「ブランド評価」「財務」「知的財産」「顧客維持」「サプライヤーとの関係」「ビジネスパートナーとの関係」「規制当局による監視」「法的契約」の順に回答が多かった。
大規模な侵害によってブランド評価に影響を受けたことがあると回答した責任者の割合は、過去3年間で26%から33%に増加した。このことは、企業のセキュリティインシデント対応計画に、ブランド価値の維持を含める必要があることを示唆している。
CISOの選択した行動と被害との関係が垣間見られるデータも
2020年シスコ最高情報セキュリティ責任者(CISO)ベンチマーク調査レポートでは、上記の他、例えば次の点で世界のCISOが何を考えているかを知ることができる。
- 経営陣のセキュリティについての理解やサポート
- ダウンタイムの原因
- どのような種類の脅威に直面したか
- インシデントを自発的に公表したか
- パッチ適用とセキュリティ侵害の相関関係
- 具体的な準備活動内容と、大規模な侵害によるコスト削減の関係
さらに、「明確なセキュリティ成果の目標や指標を設定しているセキュリティリーダーは、疲弊する可能性が低い」「自主的な侵害の開示は過去最高を記録している」「ネットワーク担当部署あるいはエンドポイント担当部署と、セキュリティ担当部署が協力的な関係にあった企業では、侵害によるコストが大幅に低下する」「ランサムウェアは、最も長いダウンタイム(24時間以上)を引き起こす原因となっている」などの知見も得られた。
この、CISOを対象とした世界規模の大規模な調査から得られる知見に、エンタープライズセキュリティ専門家の洞察を加えた調査が、日本語で読める。ぜひこの機会にダウンロードし、参考にしていただきたい。
提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年6月13日
Copyright © ITmedia, Inc. All Rights Reserved.