年の初めは前の1年間を振り返り新しい年向けて計画を立てるのに適した時期です。過去数年、サイバーセキュリティ業界では侵入件数の増加、ランサムウェアの攻撃規模の拡大、リスクの増大などが見られました。JBS Foods、Kaseya、Colonial Pipelineなど、いくつかの破壊的なサイバー攻撃は2021年に発生しました。これらの攻撃は世界的に注目され、サイバーセキュリティのベストプラクティスに一層の注意を払う必要があることが浮き彫りになりました。

世界中のCEOがサイバーリスクについて理解を深め、自社のビジネスをより安全にする方法を知るために、ISC2は、サイバーセキュリティのリーダーからチームメンバーまで幅広い役割を担う200人のサイバーセキュリティ実務者を対象にオンライン調査を実施し、率直な質問を投げかけました。2022年に向けて自社のビジネスをより安全にするために、すべてのCEOが知っておくべきことは何だと思いますか？回答を分析した結果、2022年に向けてすべてのCEOが知っておくべき5つの提言を以下にまとめました。

ボトムラインに影響を与えるサイバーセキュリティへの理解

デジタル化が進む昨今、事業の継続性と顧客データおよびプライバシーの保護を確実にするためには、サイバーセキュリティが不可欠です。しかし、ほとんどのサイバーセキュリティ専門家は、サイバーセキュリティはビジネスにおいて優先順位が十分に高くないと断言しています。サイバーセキュリティの担当者は、「セキュリティはビジネスの中核に組み込まれる必要があります。単なる後付けとして考えるものではありません。」と述べています。 別の回答者は、「CEOは、セキュリティがITの問題やテクノロジーの問題ではなく、会社のあらゆる側面に影響を与えるビジネスとしての問題であることを認識する必要があります」と述べています。

ある回答者は、サイバーセキュリティを競争上の優位性とし、営業ツールとして活用することを勧めていました。別の回答者も同様の視点で「製品、サービス、プロセスにセキュリティを設計し、シフトレフトすることで、自社と顧客にとってよりレジリエンスのある、より良い結果を提供する」ことを提案している。 サイバーセキュリティは、差別化要因であるだけでなく、デジタルトランスフォーメーション戦略の中核を成すものでなければなりません。先進的なテクノロジーへの投資も、攻撃にさらされたりデータが流出したりしては陳腐化してしまいます。

サイバーセキュリティが重要なビジネス目標である場合、企業は顧客の信頼を築き、ブランドの評判を高め、長期的にはコストを削減することができます。2021年のデータ侵害によってかかったコストは平均で424万ドルまで上昇しました。ある回答者は、「セキュリティは単なるビジネス上の経費ではなく、有効なビジネスニーズであり、ランサムウェアや高度な脅威を防御するために適切な資金を確保しなければならない 」と述べています。 万が一、サイバー攻撃が発生した場合でも、準備の整った組織であれば、より早く検知して修復し、被害を最小限に抑えることができます。

全員がサイバーセキュリティに責任を持つ

全般的に共通しているのは、組織のサイバーセキュリティに対して誰もが責任を負うということです。フィッシングは、依然としてサイバー攻撃者の間で最も一般的な攻撃手法の一つであり、サイバーセキュリティ意識向上のためのトレーニングは決して十分ではないというのが業界の共通認識です。実際、サイバーセキュリティのトレーニングや意識向上のためのトレーニングについては、12%が言及しています。すべての組織がサイバー攻撃の危機にさらされており、「小さな組織でも攻撃や恐喝を受けやすいので、セキュリティは全員の義務であることを強調することが重要」との回答がありました。

従業員がサイバーセキュリティを最重要視するためには、頻繁にサイバーセキュリティのトレーニングを行うことが最善の方法であり、費用対効果の高いソリューションであります。サイバーセキュリティのリーダーシップの役割を担う回答者は、次のように述べています。「『単純な』変更は、『組織のセキュリティ体制』に大きな影響を与える可能性があります。MFA、セキュリティ意識向上トレーニング、説明責任を伴う脆弱性管理などの項目は、防御を強化するのに大いに役立ちます。」

回答者は、CEOが意識向上トレーニングの重要性を見過ごすことはできないと警告しています。サイバーセキュリティ管理職に就く回答者は、「今日の世界で企業を安全に保つためには、セキュリティ意識と内部脅威のプログラムが必要である 」と述べています。

セキュリティチームに人員を配置し、十分な報酬を与える

適切なサイバーセキュリティツールを持つことは不可欠ですが、サイバーセキュリティチームがツールを使用するための適切なトレーニングを受けていなかったり、セキュリティプログラムを管理するための適切なスタッフがいなかったりすると、ツールは役に立たなくなります。ある回答者はCEOに対して、「認定された資格を持つサイバーセキュリティ担当者を雇用し、適切な報酬を支払い、脆弱性を評価、特定、修正するために必要なリソースと権限を提供する」ことを推奨していました。

サイバーセキュリティは事業投資です。ある回答者は、次のように述べています。「『内部』チームであろうと外注であろうと、情報セキュリティへの投資を増やす必要があります。 セキュリティは投資であり、求人情報と給与の間には相関関係があります。 トレーニング、賃金、成長の機会に投資してください。」

組織の規模や業界によっては、サイバーセキュリティの専任者が1人では不十分な場合があります。ある回答者は、CEOは「組織内で必要とされる職務に就く人をどのように雇用し、適切に訓練するか」を知るべきだと述べています。
CEOや採用担当者は、セキュリティチームのリーダーと協力して、スタッフの必要性を判断する必要があります。サイバーセキュリティの専門家は272万人も不足しており、サイバーセキュリティの「オールスターズ」だけを追求することは実行可能な戦略ではありません。

サイバーセキュリティのリーダーたちは、分析的思考、好奇心、問題解決など、サイバーセキュリティでのキャリア成功に不可欠な基礎的な非技術的スキルを求めて、転職者を採用するケースが増えています。スキルレベルにかかわらず、すべてのスタッフが専門的な開発の機会を得ることができ、効果的に業務を遂行するために組織のサイバーセキュリティツールに関するトレーニングを受ける必要があります。

また、サイバーセキュリティの専門家に十分な報酬を支払うことも重要です。職業を問わず、従業員がトレーニングを受け、サポートを受け、競争力のある報酬を得ている場合、従業員は仕事への満足度が高く、会社に留まることができます。サイバーセキュリティの求人市場は熾烈を極めており、プロフェッショナルの約半数が、毎週のようにリクルーターからアプローチを受けていると回答しています。

ランサムウェアへの対応

2021年のVerizon Data Breach Investigation Reportによると、ランサムウェアの攻撃頻度は今年に入ってから倍増しており、FBIはランサムウェアに関する苦情が前年比で62％増加したと報告しています。近年、ランサムウェアは新たな形で登場しており、サイバー攻撃者の間では、サプライチェーン攻撃、二重脅迫型、サービスとしてのランサムウェアなどが流行しています。回答者の10％がランサムウェアについて言及しており、ランサムウェアはサイバーセキュリティ業界で最も懸念されているものの一つです。

ランサムウェアは避けられない - 「ランサムウェアは他の人にだけ起こるものではない 」とある回答者が回答しました。 成功するためには、組織は頻繁にランサムウェア対応を計画し、毎年リスク評価を実施する必要があります。サイバーセキュリティの管理職に就いているある回答者は、「CEOは組織内でフィッシングやランサムウェアに対する効果的でテスト済みの教育・修復計画を持つために、個人的なオーナーシップと責任を持たなければならない」と述べています。 同様の役割を担っている別の回答者は、ランサムウェアを阻止するためには、CEOがサイバーの基本を正しく理解していることを確認する必要があると強調しています。

ある回答者は、計画を立て、サイバーの基本を実行することに加えて、高度な脅威検出技術を導入し、サイバーセキュリティチームを編成することで、防御を強化することの重要性を強調しています。

リモートワークを可能にするテクノロジーへの投資

リモートワークやハイブリッドワークを可能にすることは、回答の13％を占めるトピックの一つでした。世界的なパンデミックは、私たちの世界、特に仕事のやり方を進化させ続けています。ある回答者は、「すべてのCEOは、COVID-19流行による在宅勤務についてのリスクを理解すべきである」と提言しています。

サイバーリスクはあるものの、リモートワークやハイブリッドワークは、オフィスから離れた場所で仕事をこなすことができる多くのプロフェッショナルにとって重要な特典であるため、今後も継続していくことでしょう。ある回答者は、「特に生産性の低下が見られなかったことから、従業員がより柔軟な働き方やリモートワークを求める傾向は消えていない。CEOは従業員の柔軟性を可能にするテクノロジーへの投資を続けなければならない」と述べています。

他の回答者からは、リモートワーカーのセキュリティ確保について様々な指摘がありました。CEOに対して、資産管理への投資、ゼロトラストの実施、セキュリティを犠牲にすることなくモビリティと柔軟性を促進すること、ビジネスリスクの再評価、安全なリモートテクノロジーの導入、BYODポリシーの見直し、頻繁なセキュリティ意識向上トレーニングの推進などが求められています。チェックリストは長いかもしれませんが、CEOはセキュリティ推進者と優先事項やニーズを話し合い、リモートワーク戦略を策定する必要があります。

2022年において、CEOがサイバーセキュリティについて知っておくべきことは何だと思いますか？考えを共有し、ISC2 Communityに参加して意見を交換し合いませんか。

原文記事： https://blog.isc2.org/isc2_blog/2021/12/ceos-cybersecurity-2022.html