** 本記事は、Cybersecurity: The Human Challengeル の翻訳です。最新の情報は英語記事をご覧ください。**
『サイバーセキュリティ:企業を守る人材とスキルの現状』は、26 カ国 5,000 人の IT 管理者を対象とした包括的な調査に基づいており、世界各国のサイバーセキュリティのスキルとリソースの状況について、まったく新しい知見を提供しています。
この調査では、人的な資源を中心に活用してサイバーセキュリティ対策を進めている IT チームが直面している現状と、スキルに関する現在の課題にどのように対応しているかを明らかにしています。
また、ランサムウェア攻撃を受けた組織と、定常的なサイバーセキュリティ対策との関係について洞察した結果も提供します。
主な調査結果
IT チームは多くのサイバーセキュリティ対策で進歩を見せている
- IT チームはパッチの適用に余念がない。4 分の 3 の IT チームは、パッチが公開されてから 1 週間以内にデスクトップ、サーバー、アプリケーション、およびインターネットに接続する資産にパッチを適用しています。サーバーとインターネットに接続する資産には最も迅速にパッチが適用されており、回答者の 39% が 24 時間以内にパッチを適用していました。
- 予防への取り組みが優先されている。IT チームは、平均で、ほぼ半分の時間 (45%) を予防に費やしています。その他の 30% の時間は検知に費やされ、残りの 25% が攻撃発生後の対応に費やされています。
- IT 管理者は、最新のサイバーセキュリティ対策を導入している。大多数 (72%) の IT 管理者が、自社のセキュリティチームはサイバー攻撃の脅威を受けない最新の対策を講じていると回答しています。大幅に後れを取っていると回答した組織はわずか 11% でした。
サイバーセキュリティの改善には人材が求められるが、スキルのある人材は不足している
- セキュリティプロフェッショナルによる脅威ハンティングの必要性が急速に高まっています。回答者の 48% が、すでにセキュリティ対策にプロフェッショナルによる脅威ハンティングを取り入れており、さらに 48% が 1 年以内に実施する予定と回答しています。
- サイバーセキュリティに関連するスキル不足は、プロテクション機能の実装に直接関係しています。管理者の 4 分の 1 以上 (27%) が、経験豊富な IT セキュリティプロフェッショナルを採用し維持する能力が、IT セキュリティを提供する能力における最大の課題であると答え、54% が重大な課題であると答えています。
組織によるセキュリティ対策の実施方法は変わりつつある
- 最優先の課題は運用効率の向上。10 人に 4 人 (39%) の回答者が、業務の効率性と拡張性の向上は今年の IT チームの最大の優先事項の 1 つと答えています。
- IT セキュリティのアウトソーシングが急増している。現在、回答した組織の 65% が IT セキュリティ対策の一部または全てをアウトソーシングしています。この比率は 2022 年までに 72% に上昇するとされています。社内のスタッフのみでセキュリティ部門を運用する組織の割合は 34% から 26% に低下すると予測されています。
ランサムウェアの攻撃を受けた組織と受けていない組織の行動や意識は異なる
- ランサムウェアの攻撃を受けた組織は、サードパーティーの組織から感染する可能性が高い。過去 1 年間にランサムウェアの攻撃を受けた組織の 29% は、5 社以上のサプライヤーに組織のネットワークへ直接接続することを許可していましたが、被害を受けていない組織ではこの割合はわずか 13% でした。
- ランサムウェア攻撃を受けると、セキュリティプロフェッショナルの自信が大きく揺らぐ。ランサムウェアの攻撃を受けた組織の IT 管理者は、被害を受けていない組織と比較して、サイバーセキュリティの脅威への対策について「著しく後れている」と感じるケースが約 3 倍高くなっています (17% 対 6%)。
- サイバー攻撃を受けると、セキュリティプロフェッショナルによる脅威ハンティングの実施が加速する。 6 カ月以内にセキュリティプロフェッショナルによる脅威ハンティングを実施することを予定している組織は、ランサムウェアの攻撃を受けている場合に 43% であったのに対し、攻撃を受けていない場合は 33% でした。
- 攻撃を受けた組織は、経験豊富なセキュリティプロフェッショナルが重要であることを認識している。ランサムウェアの攻撃を受けた組織の 3 分の 1 以上 (35%) が、経験豊富な IT セキュリティの専門家を採用し維持することがサイバーセキュリティの最大の課題であると回答しています。
調査対象の 26 カ国の結果を含む調査結果の詳細については、レポート (PDF) をダウンロードしてください。
調査について
ソフォスは、専門調査会社の Vanson Bourne に委託し、2020 年 1 月から 2 月にかけて 5,000 名の IT 管理者を対象に本調査を実施しました。ソフォスは回答者の選定には関与しておらず、回答はすべて匿名で提供されています。
オーストラリア、ベルギー、ブラジル、カナダ、中国、コロンビア、チェコ共和国、フランス、ドイツ、インド、イタリア、日本、マレーシア、メキシコ、オランダ、ナイジェリア、フィリピン、ポーランド、シンガポール、南アフリカ、スペイン、スウェーデン、トルコ、アラブ首長国連邦、英国、米国の以下の 6 大陸 26カ国の組織から回答を得ています。
回答した組織の 50% は従業員 100 人以上で 1,000 人未満、50% は 1,001 人以上で 5,000 人未満の組織でした。公的な機関や民間企業などの組織から回答を得ています。