サイバーセキュリティは、世界中のビジネスリーダーや政府にとって、最重要課題になっています。調査対象企業の70%以上が、サイバーセキュリティは取締役会レベルの懸念事項であり、トップ経営陣が財務面と教養面の双方でサポートするべきだと答えています。これらの企業はセキュリティを破ろうとする集中的な攻撃を毎月平均2〜3件受けており、彼らが確認した攻撃には検知に数カ月から数年かかるものもあります。
そもそも効果的なセキュリティ戦略とはどのようなものでしょうか?アクセンチュアは、セキュリティ領域でのハイパフォーマンスを客観的に定義するために、「アクセンチュア・セキュリティ・インデックス」を開発しました。これは企業・組織単位および国別に、33項目のサイバーセキュリティ・ケイパビリティについてパフォーマンス評価を行ったものです。企業や組織はこれらのケイパビリティについて自社の現状を明確に把握することで、サイバーセキュリティの脅威を大幅に減らすために適切な方策を取ることができます。
世界中の企業・組織を対象にした本調査によれば、33項目のサイバーセキュリティ・ケイパビリティのうち、高いレベルのパフォーマンスを達成しているのは平均で11項目でした。これは全体的にかなり大きな改善の余地があることを示しています。33項目のうち25項目以上で「能力がある」と回答した企業・組織は全体の9%です。企業・組織レベルでのセキュリティ・パフォーマンスには大きなばらつきが見られます。通信、銀行、ハイテク業界の回答企業は14から15項目のサイバーセキュリティ・ケイパビリティで高いレベルの能力を示していますが、ライフサイエンス企業は6項目にとどまりました。国別のパフォーマンスについても、大きなばらつきがみられます。英国はフランスと並んでトップに位置し、33項目ののうち15項目で高いレベルの能力を示しました。一方、スペインは7項目で最下位でした。米国は33項目のうち12項目で高いレベルの能力を示しています。
日本は、英国・フランス・ブラジルに次ぎ4位に入り、平均で13項目で高い能力を保持しています。
国別セキュリティ・インデックス・スコア
(能力が高いセキュリティ・ケイパビリティの割合)
出典:アクセンチュア・セキュリティ、オックスフォード・エコノミクス
アクセンチュアは包括的なモデルを使い、33項目のサイバーセキュリティ・ケイパビリティについて企業・組織単位および国別にパフォーマンスの評価を行いました。明確かつ客観的なパフォーマンス測定のために、調査では具体的な評価項目を定義し、能力を「ない/限定的」「平均的」「高い」の3つのレベルに分類しました。例えば、「高付加価値の資産とビジネスプロセスを特定する」という能力が「ない」または「限定的」の場合、その企業は重要な資産とプロセスの特定に一貫して失敗していることを意味します。高いスコアを獲得した企業は重要な資産とプロセスを明確に特定し、サイバー攻撃の影響を定期的に見直しています。
多くの企業・組織は、サイバーセキュリティへのアプローチを再検討してどうすればパフォーマンスを改善できるか考える必要があります。下記6つの取り組みにより、サイバーセキュリティに対するアプローチを再考できます。
企業・組織におけるサイバーセキュリティの成功とは何かを定義する:サイバーセキュリティ戦略とビジネス上の緊急性との整合性を改善し、より高度な攻撃を検知・撃退するための能力を強化する。
セキュリティ・ケイパビリティの耐圧テスト:外部のホワイトハッカーを雇って攻撃シミュレーションを実施することで、標的型で集中的な攻撃に耐えられるかどうか、危機に対する準備態勢と対応の有効性を評価する。
隅から隅まで防御する:重要な資産の保護に優先順序を付け、内部への侵害を受けると最も影響が大きいものに集中する。外部から侵害を受けるさまざまな可能性を予期しようとする代わりに、数が少なく本当に重要な内部の侵害に集中することができる。
イノベーションを継続する:現在使用しているプログラムに追加投資する代わりに、敵の裏をかくことのできる最先端のプログラムに投資する。
セキュリティを全社員の仕事に:全社員のトレーニング受講を優先課題にする。社員は侵入の検知・予防に重要な役割を果たすので、適切なトレーニングにより予想以上の見返りが期待できる。
トップがリードする:CISO(最高情報セキュリティ責任者)がリーダーシップを持って大いに関与し、会社の価値を守るためにサイバーセキュリティの優先度が高いことを主張するよう支援する。
Comment submitted
Submitted comment may not display automatically.