Avatar

~セキュリティベンダーの統合と最適化を進める企業が増加傾向に、セキュリティのスタートアップ企業、
支援する投資家、シングルソリューションを推進するベンダーにとっては逆風か~

シスコ(本社:カリフォルニア州サンノゼ、NASDAQ:CSCO、以下シスコ)は、本年2月に世界18カ国の3,200人を超えるセキュリティリーダーを対象に実施した「2019年版 最高セキュリティ責任者(CISO)ベンチマーク調査(Cisco 2019 CISO Benchmark Study Reports)」の日本語版レポートを発表しました。

同調査は、毎年CISOの“健康診断”を行うことを目的としており、今回の調査結果では、セキュリティ プロフェッショナルはベンダーの統合と最適化、ネットワーキングチームとセキュリティチームの連携強化、セキュリティ啓発トレーニングによる組織的なセキュリティ体制の強化とセキュリティ侵害のリスク低減を、これまで以上に重点的に行っていることが報告されました。また、より一層複雑化する問題への対策を講じるために、多くのCISOは、クラウドへ移行することによって防御への取り組みが強化できると確信する一方で、人工知能(AI)をはじめ、まだ実証されていないテクノロジーに対する依存度を低下させる傾向にあります。

10以上のセキュリティ ベンダーのソリューションによって構成される複雑なセキュリティ環境は、セキュリティ プロフェッショナルが環境全体を把握し、可視化することを阻害する要因となりえます。回答者の65%がセキュリティ侵害の影響範囲を判断し、その所在を特定して修正することは容易ではないと答えています。また、外部からの未知の脅威がユーザーやデータ、デバイス、アプリケーションなどさまざまな形で存在していることも、CISOにとって最大の懸念事項となっています。こうした課題に対処し、組織の防御を強化するための対策について、今回の調査では次のような回答がありました。

• 回答者の45%がセキュリティ防御テクノロジーへの投資を増加

• 39%が従業員のセキュリティ啓発トレーニングを実施

• 39%が重点的にリスク低減テクノロジーを導入

今回の調査で、回答者はセキュリティ侵害が引き続き財政的に非常に大きなインパクトを与えていることも指摘しています。回答者の45%がデータ漏えいによって組織は50万ドル以上の財政的な影響を受けたと答えています。一方で、回答者の50%がデータ漏えいに関わるコストを50万ドル以下に減少させていると回答していることは朗報と言えます。しかし依然として、昨年1年間で最も重大なセキュリティ侵害の場合、1件当たり500万ドル以上という巨額な損害を被ったとする回答者が全体の8%存在していることも、紛れもない事実です。

シスコ、シニアバイスプレジデント兼最高情報セキュリティ責任者(CISO)、スティーブ・マルティノ(Steve Martino)は次のように述べています。

「今年の調査では、サイバー防衛やセキュリティ侵害の封じ込めのために重要なテクノロジーへの投資を行うと同時に、統合やトレーニングを通じて脅威に対する脆弱性の低減に取り組むなど、CISOがこれまでよりはるかに積極的な役割を果たすようになっていますが、まだ課題は残されています。目で見えないものを防御することはできず、セキュリティリーダー達は依然として、組織全体を通じた脅威の可視性を高めることに苦労しています。シスコは、企業がこうした課題に対処するための新たなテクノロジーの導入を支援するとともに、悪質な攻撃者や脅威の先を行くテクノロジーに真摯に取り組んでいきます」

今回の調査では、セキュリティ プロフェッショナルが組織のセキュリティ体制向上のために、いくつかの積極的な対策を展開していることがわかります。

ポイント製品からベンダー統合へ移行する傾向が継続―― 回答者の54%が、2017年には、自社の環境におけるベンダーの数が10社以下と答えた回答者の割合が、2017年の54%から63%に上昇しています。

• 多くの環境ではマルチベンダーのソリューションが統合されていないために、アラートや優先度の設定を共有できなくなっています。今回の調査では、ポイントソリューションの数が少ない企業であっても、CISOが全社的なアーキテクチャのアプローチを推進することで、より効率的にアラート管理ができることも明らかになっています。

チーム間の連携が強いほど損害は少なく、サイロ化を排することが財政面で効果を上げることが明確に

• セキュリティ プロフェッショナルの95%が、自社のネットワーキングチームとセキュリティチームは「非常に協力的」、もしくは「極めて協力的」と答えています。

• 自社のネットワーキングチームとセキュリティチームが緊密に連携していると回答したセキュリティ プロフェッショナルの59%は、最も深刻なセキュリティ侵害によって受けた財政的な影響の総額が、今回の調査で最も低いセキュリティ侵害コストの分類である10万ドル未満であると回答しています。

クラウドで提供されるセキュリティやクラウドのセキュリティへの信頼感が上昇

• CISOの93%が、クラウドへの移行によってセキュリティ業務の効率や効果が向上したと回答しています。

• 「クラウドインフラの保護が困難」と考えるCISOの割合は、2017年の55%から2019年は52%に低下しています。

サイバー保険の導入が全社的なリスクアセスメントやリスクメトリクスの活用をさらに推進し、テクノロジーの選定においても重要な役割を果たすようになったことで、CISOは実際のオペレーションに注力できるように―― 40%がサイバー保険を利用し、少なくとも部分的に予算枠を設定していると回答しています。

サイバー疲労”―― 悪質な脅威や攻撃者に対して、常に率先して対処することをあきらめることを意味する「サイバー疲労」の割合は、2018年の46%から2019年は30%に低下しました。

しかし戦いの終結には程遠く、CISOには以下のような課題や改善の可能性があることも明らかになりました。

AIや機械学習(ML)を適切に活用することが、アラートの優先順位付けやマネージメントの最初の段階では不可欠であるものの、今回の調査ではこれらのテクノロジーがまだ成熟しておらず、主流になれる段階ではないという認識があるためか、こうしたテクノロジーに対する依存度は低下しています。

• 2018年には77%だったMLへの依存度が、2019年は67%に低下しています。

• AIへの依存度は2018年の74%から2019年は66%に低下しています。

• オートメーションへの依存度は2018年の83%から2019年は75%に低下しています。

入社初日のセキュリティ啓発トレーニングから始まる組織的なプロセスに取り組むなど、多くのCISOにとって、従業員/ユーザーの保護は依然として最大の課題の1

• 入社から職場への配属、異動や退社までの過程を含めた従業員の包括的なセキュリティ管理について、「優れた対応ができている」と自己評価しているCISOの割合は51%に留まっています。

依然として最大の脅威ベクターになっている電子メールのセキュリティ

• CISOにとって、フィッシングやリスクの高いユーザ行動(電子メールに含まれる悪質なリンクやウェブサイトをクリックする等)は依然として最大の懸念事項になっています。こうしたリスクを認識する回答者の割合は前回の56%から57%と、この3年間、確実に同レベルに留まっています。従業員に対するセキュリティ啓発プログラムのレベルの低さと合わせて、この分野に最も重大なギャップが存在すると思われ、セキュリティ業界の支援が役立つ可能性があります。

アラート管理や修復も引き続き、困難な課題になっています。正当なアラートの修復率は2018年の50.5%から今年は42.7%に低下したことが報告されており、回答者の多くがセキュリティの有効性指標として修復率の向上に取り組んでいることを考えると、憂慮すべき傾向だと言えます。

• セキュリティの評価基準は変化しています。セキュリティの有効性の指標として、「脅威の検出までの時間」を使用している割合は、2018年の61%から、2019年は平均51%まで低下しています。「パッチ処理までの時間」を重視する割合も、2018年の57%から2019年は40%に大きく低下しています。今回の調査でセキュリティ対策の成功の目安として、「修復までの時間」を挙げた回答者の割合は48%で、2018年の30%から上昇しています。

CISOへの提案

• セキュリティ予算は、サイバー保険やリスクアセスメントを組み入れた実際的な戦略による調達、戦略、マネージメントの意思決定により、成果に基づいて編成するべきです。

• セキュリティ侵害の危険性や侵害の及ぶ範囲を削減できることが実証されたプロセスがあり、組織はそうしたプロセスを導入することができます。

• ビジネスケースに内在するセキュリティニーズを把握する唯一の方法は、IT、ネットワーキング、セキュリティ、リスク/コンプライアンスなど、社内の別々のグループを連携させることです。

• 分断されたツールにまたがってインシデント対応を統合することによって、脅威の検知から対応まで迅速に動くことができ、人手による調整を減らすことができます。

• 脅威検知とアクセス保護を一体化して内部脅威に対応し、ゼロトラスト等のプログラムに沿って対応します。

• フィッシング対策トレーニング、多要素認証、高度なスパムフィルター、DMARCで最大の脅威ベクターであるビジネスメール詐欺に対する防御を行います。

関連リソース

「2019年版CISOベンチマーク調査」の日本語版

注記

シスコは、メディア、アナリスト、ブロガー、サービス プロバイダー、政府機関、その他関係者の方々がシスコの研究成果を使用、参照されることを歓迎しています。その際は、「出典:Cisco 2019 CISO ベンチマーク調査」の明示をお願いいたします。

*Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R)

**当資料は、2019年2月28日に発表されたニュースリリースの抄訳です。
Caution Security Startups, Investors, and Standalone Solutions—Cisco 2019 CISO Benchmark Study Reports Increased Vendor Consolidation

Originally Posted at: https://apjc.thecisconetwork.com/site/content/lang/ja/id/10429