経営幹部陣のサイバーリスク管理
Ivanti サイバーセキュリティレポートシリーズ
サイバー攻撃が洗練化する今、企業が財務、運用、評判にまつわるより高いリスクにさらされるようになり、CISOが戦略的な防御者から戦略的なリーダーへと移行することが要されています。
はじめに
Ivantiでは、世界各国で3000人を超える ITとセキュリティの専門家、企業リーダーを対象にした調査を行い、サイバーセキュリティ脅威の増大に向けて起業がいかに対応しているか調査しています。 このレポートでは、CISO がリスクをいかに指揮系統の上位に伝えているかを調査しています。次の内容が含まれます。
- 能力と運のめぐりあわせによって重大な攻撃をまだ受けていない場合でも、企業が直面しているリスクの重大さを伝える
- 複雑なリスク管理の概念をCEOと取締役会に伝える
- 単なる技術的リーダーの役割から戦略的なインフルエンサーへと進化し、セキュリティポリシーの開発や実装と同様に、重要なビジネス決定への影響力を持てるようにする
Ivantiの調査研究と方法論の詳細は、最終セクションをご覧ください。
3000+
Ivantiでは、3000人以上のITとセキュリティの専門家を対象に、
増大するサイバーセキュリティ脅威に対してリーダーがいかに対処しているか調査しました。
01
経営層に見られる過度な信用
現在の問題
サイバーリスクは、技術の急速な進化、サイバー攻撃者の洗練化、そして相互接続されたシステムとデバイスによる攻撃対象領域の拡大を受け、ますます複雑で脅威的なものに進化しています。
一方で、重要な分野において、IT以外のリーダーは 過度の自信を示しており、ITやセキュリティ専門家を大幅に上回る信頼感を見せています。 考慮点:
- IT以外におけるリーダーの60%から、今後 12 か月以内に有害なセキュリティインシデントを防止/阻止する企業能力に「非常に」、「極めて」自信があると回答されています。
- IT 専門家のなかで同等レベルの自信を示した割合は46%にとどまっています。
このギャップから、IT 以外のリーダーがセキュリティ脅威の増大に起因したリスク (財務、運用、評判) を真に理解していない可能性が示唆されています。
これが重要な理由とは?
サイバーセキュリティのインシデントは急増しています。 国際通貨基金 (IMF)による2024 年 4 月に実施された世界金融安定性レポートでは、 いわゆる 「極度の損失」の発生が増加し、これら極度の損失の規模が2017 年から 2021 年の間に 4 倍以上の増加を遂げ、 25 億ドルに達したと報告されています。
金融セクターにおけるインシデントは、金融システムに対する信頼を損ない、重要なサービスに混乱を生じさせ、または、他の金融機関に波及したりすれば、金融や経済の安定が脅かされる可能性があります。
— IMF 世界金融安定性レポート
Ivanti の調査によると、企業におけるサイバーセキュリティ予算は増加しているものの(71% から 2024 年度の予算増加が明らかにされています)、セキュリティにおける戦略と投資は実際的な脅威の深刻度と蔓延増大化に見合っていません。
IT・セキュリティ専門家における実に95% が、セキュリティ脅威がAI によって高まると見ています。このようなリスク増大にもかかわらず、セキュリティ・ IT 専門家における 3 人に 1 人がまだこの生成 AI リスクに対する文書化された戦略を導入していません。
また、調査対象となった企業のほぼ 3 分の 2 において、外部攻撃対象領域の管理、デジタルフォレンジック、そしてインシデント対応 (DFIR) といった重要分野への投資がいまだ実現されていません。
02
脆弱性管理
現在の問題
IT・セキュリティ専門家の過半数以上(55%)は、IT以外のリーダーがいまだ脆弱性管理について正しく理解していない、とみなしています。企業リーダーは、この評価に同意を示しています。IT以外のリーダーにおける47%が、この概念についてよく把握していないことを自認しています。
共通脆弱性識別子 (CVE)数の急増からも、優先順位付けにおける規律がますます重要になっています。
これが重要な理由とは?
脆弱性管理は、今日におけるサイバーセキュリティ戦略の根幹をなす原則です。 ここでは「管理」というタームが強調されています。 いかなるセキュリティチームであっても、侵入不可能な要塞を築くことはできません。 代わりに、尽力やリソースに優先順位を付け、最善の結果が論理的に期待できる領域に注目しなければなりません。
企業のリーダーがこれを見誤った場合には、CISO の有効性やセキュリティチームの価値表かに対する誤解を招きうります。 たとえば、IT以外のリーダーは、脅威が迅速に封じ込められて無力化されたとして、成功を収めたサイバー攻撃を失敗と見なしてしまうかもしれません。
同様に、脆弱性管理を十分に理解していない IT以外のリーダーは、セキュリティの最終ゴールを効果的なパッチの優先順位付けではなく、100% のパッチコンプライアンスだとしてしまうかもしれません。4人に1人を超える割合のIT専門家は、リーダーにおける優先順位が変更されることによって、パッチ管理が損なわれる、と回答されています。
4人に1人の
IT専門家から、
リーダーの優先順位の変更によって
03
パッチ管理が損なわれる、と回答されています
現在の問題
セキュリティチーム、そしてIT以外のリーダーは、サイバーリスクの潜在的な影響に対して異なる見解を明らかにしています。サイバーリスクが招きうる損害範囲や影響を受ける可能性が最も高い企業の領域についても、両者の意見は異なっています。一般的に、IT以外のリーダーは、ITやセキュリティの幹部よりも財務や法律、評判に対する悪影響をより重視しています。リスクをより狭い視野で捉えるCISO は、その全体像を見逃している可能性が考えられます。
これが重要な理由とは?
IBM による最新のデータ侵害コストレポートによると、2023年のデータ侵害に要された平均コストは445万ドルで、3年間で15%の増加を見せています。さらに、Chainalysisの調査によれば、2023年のランサムウェアによる支払いは過去最高に達し、全世界において総額 11 億ドルとなっています。
サイバー脅威が急速に拡大化し、洗練化されているため、セキュリティの問題を超えて、株価から規制上のステータスまでを含めたあらゆる側面に影響を及ぼすビジネス持続可能性の危機へと急速に変化を遂げています。
同時に、企業では、AI の導入からサプライ チェーンのリスク管理に至るまでの幅広い問題に対する戦略的なアドバイスがCISO に求められるようになってきています。 取締役会の関与も高まっています。
- Ivantiの調査によれば、サイバーセキュリティはすでに取締役会水準のトピックとなっています。86%の企業が、取締役会においてサイバーリスクが議論されていると答えています。また、84%がビジネスの意思決定や計画といった高水準の戦略会議にCISOが同席している、と答えています。
- Statistaによる「サイバー犯罪がアメリカ企業に及ぼす影響」報告では、 取締役会は、社評の失墜 (43%)、大幅なダウンタイム (39%)、顧客の喪失 (38%)、ビジネス評価への影響 (38%) といった争点を懸念しています。
にもかかわらず、多くの CISO が全体像の把握よりもダウンタイム のリスクを主眼とした対策を講じています。
経営幹部の24%がサイバーリスクによる社評への影響を「高い」と評価しているのに対し、CISOはわずか15%にとどまっています。
戦略的なプレーヤーとなるには、セキュリティ リーダーが CEO や取締役会と同じ言語を操るようにならなければなりません。攻撃による財務や評判への影響、データ侵害による法・規制上の影響など、テクニカルなノウハウがビジネスの優先事項に翻訳されなければなりません。
04
アクションステップ
企業幹部陣は、セキュリティ対策にまつわる対話の方向性を設定しなければなりません
ロバート・グラッツィオーリ
Ivanti 最高情報責任者
定期的に大規模セキュリティイベントがニュースに上るなか、CISO はサイバー攻撃に伴う深刻な広報や評判上のリスクを経営陣に説き伏せるために奔走する必要はありません。 これらの認識を CISO ビジョンに対する長期的で戦略的な賛同 (そして相応の予算) に変えることが、今日におけるCISO のもっとも重要な課題だといえるでしょう。 サポートを得ることによって、CISO は強力なセキュリティを支える効果的なシステム 構築に取り組むことが可能になります。すなわち、データサイロの打開、プロセスの整合、強力なコミュニケーション ラインの確保に取り組み、企業全域における点と点を結び付けながら脆弱性を明らかにし、修正していくことが可能になります。
CISO の役割を洗い直し、次世代のセキュリティリーダーを育成する
スリニバス・ムッカマラ博士
Ivanti 最高製品責任者
CISOの役割は、戦術的なセキュリティリーダーから戦略的なビジネスパートナーへと変化を遂げています。今日のビジネス環境におけるセキュリティリーダーは、リスク管理のゴールとコンプライアンス方針、社員エクスペリエンスとビジネスゴール間の調整を課題としています。そして、これら優先事項が抵触した際に難しい状況に直面することになります。優れたCISOは、自身の決定がビジネス全体にどのような影響を与えるかを見据え、そのビジョンに即して行動します。
実際には、あらゆる企業がこのよううな水準のサイバーセキュリティ成熟度に達しているわけでも、才能あるリーダーによって統率されているわけでもありません。十分な資格を有し、十分なトレーニング経験のあるバランス感覚にすぐれたCISO候補者の数は足りていません。このようなセキュリティリーダーを育成するには、優秀なサイバーセキュリティ・IT専門家によって、技術的なスキル、リーダーシップ、そしてビジネスアキュメンを養うパスが築かれねばならないでしょう。
「脆弱性管理」を使用してサイバーセキュリティの原則を定着させる
スターリング・パーカー
Ivanti グローバルテクニカルサポート担当上級副社長
脆弱性管理は、今日のサイバーセキュリティ戦略における原則の根幹を成し、サイバーセキュリティを広く普及させるうえでのまたとない教育ツールとなります。 今日の CISO は、さまざまな経営幹部陣水準にレベルアップさせて脅威と脆弱性を話し合うという課題に対峙しています。 さらには、現在そして潜在的な脅威がビジネスや顧客に与える影響を正確に描写できなくてはなりません。 また、サイバーセキュリティにおけるニーズと CIO のニーズ (ソリューションの可用性など) 間の調整も要されています。 脆弱性管理はトレードオフに関わってきます。シニアリーダーに向けて脆弱性管理を説くことで、サイバーセキュリティにおける好機と限界、そこから派生する戦略的決定に向けた対話を開始することができるでしょう。
IT 部門ではない幹部のセキュリティモデル理解を促すフレームワークとして、CIA トライアドも考慮できます。CIAは、機密性、完全性、可用性で構成されています。
- 機密性 によって、使用を許可されたユーザーのみが機密情報にアクセスできるようになります。
- 完全性は、企業がデータのライフサイクル全体を通じてその正確性、一貫性、信頼性を維持することを指します。
- そして可用性によって、ユーザーのニーズに応じ、直ちにデータとリソースにアクセスできるようになります。
CIA トライアドは、サイバーセキュリティの根幹を成す好機と脅威に対する理解獲得を使命とするCISO に向けて、バランスのとれた総合的なセキュリティアプローチを提供します。CIA は、セキュリティビジョンや、インシデント対応方針、実行戦略に対する周囲の理解ならびに賛同を得るためのすぐれたサポートとなるでしょう。
セキュリティ イベントがその他のビジネス機能に及ぼす影響を定量化する
スターリング・パーカー
Ivanti グローバルテクニカルサポート担当上級副社長
最終的に、CISO の役割とは ビジネスを可能にすることにあります。 このゴールに向けて、CISO が他のビジネス機能ならびにステークホルダーと連帯し、セキュリティイベントが企業の他領域に及ぼしうる影響を把握しなければなりません。
企業のステークホルダーと連携することで、企業の評判、顧客満足度、従業員のエンゲージメント、生産性などを考慮するCISO が、セキュリティ インシデントのビジネス全域へのインパクトを測定する指標とツールを定義し、追跡できるようになります。 このような影響測定には、より長期的な視野も要されます。たとえば、苦情、訴訟、メディア報道、あるいは顧客離れの正式な件数といった指標も測定、管理されなければなりません。
セキュリティ チーム、ならびにより広範なリーダーシップチームの双方において、盲点のない十分な情報に基づいた意思決定を促進することがねらいとされています。
メソドロジー
このレポートは、Ivantiが実施した調査レポート「フレキシブルな働き方を促進するために」、そして 「2024 サイバーセキュリティステータスレポート: 変曲点」に基づいています。この2 つの調査において、総計1万6200人にのぼる経営幹部、IT 専門家、セキュリティ専門家、そしてオフィスワーカーが回答しています。 当レポートにおいては、これらの2つの調査で対象とされた 3059人の経営幹部、IT 専門家、セキュリティの専門家に焦点が絞られています。
