The next cyber threat may come from within
2023/02/02 HelpNetSecurity — EisnerAmper によると、企業が直面する最大の脅威として、経営者の 71% が社内の偶発的なミスを心配しており、外部からの攻撃に対する懸念 (75%) と変わらないことが明らかになった。さらに 23% が、従業員による悪意の行為を懸念していると回答している。この調査では、現在の安全対策に対する信頼度は、やや低く評価されている。サイバー防衛戦略の全体的なについて、ある程度は備えているが 51% で、適切に備えているが 39%、全く備えていないが 6%、分からないが 4% となっている。また、インサイダーに対するサイバー防衛について尋ねたところ、ある程度自信があるが 57% で、非常に自信があるが 37%、全く自信がないが 6% という回答だった。
トレーニングについて
この調査では、システムのアップグレードや、スタッフへの継続的な投資に加えて、従業員へのトレーニングや意識向上を通じて、常に警戒を強めていく必要性が指摘されている。サイバー・セキュリティのトレーニングを定期的に行っていると回答したのは、わずか 50% だった。
また、これまでの 6ヶ月以内にトレーニングを実施した企業は 44% で、7ヶ月以上前に実施した企業は 25%、一度もトレーニングを実施したことがないと答えた企業は 31% という驚くべき結果だった。
EisnerAmper の Partner and Head of Outsourced IT Services である Rahul Mahna は、「10年前のビジネス・リーダーたちは、サイバー・セキュリティ侵害という減少を、外部のハッカーによる犯行と同一視していたようだ。しかし、バーチャル・ワークやハイブリッド・ワークといった新常識により、サイバー・セキュリティの脅威は多岐にわたるようになり、その多くは内部から発生している」と述べている。
彼は、「企業は、事前対策を怠ることなく、リソースの最適化を進める必要がある。その第一歩として重要なのが、スタッフの教育であり、その教育を定期的に更新することだ。バーチャル/ハイブリッド・ワークの増加を考慮すると、少なくとも四半期ごとのサイバーセキュリティ・トレーニングを、ほとんどの企業で実施する必要がある。このトレーニングによる教育と、最新のソフトウェア/ハードウェアの提供を実施すべきだ。そして何よりも、企業としての成功に責任を感じている、信頼できる IT スタッフに対して、前もって予算を振り向けることが、はるかに効率的となる」と続けている。
予算について
不況下であっても、71% が IT 予算を維持すると答え、21% がIT予算を削減すると答えたが、予算を増やすと答えたのはわずか 8% だった。
回答者の 32% は、テクノロジー支出全体に占める、サイバー・セキュリティ年間支出の割合は、わずか 1%~3% だと答えている。30%は、その予算ラインが 4%~6% であると回答している。10%以上と回答したのは、わずか 23% である。
Mahna は、「この状況は、悪意のある人々の思うつぼだ」と指摘している。
彼は、「厳しい時代には、企業が予算を削減し、ドアを開けっ放しにすると、犯罪者たちは予期している。好不況にかかわらず、サイバー・セキュリティへの投資は、常に最優先事項であり、それ回避したときの損失は、大きな見返りとなるはずだ」と付け加えている。
人材確保
調査対象者のうち、人員削減を計画していると答えたのはわずか5%で、24%は増員を計画している。最も多いのは67%の人員配置を変えないという回答であり、4%は分からないと答えている。
サイバー・セキュリティと人の問題には、とても難しいものがあります。Virizon の Data Breach Investigations Report は、 その名の通りデータ侵害全般を分析するレポートですが、それを紹介する 2023/01/24 DarkReading 「ダークウェブの監視が重要:Verizon DBI が示すインサイダー・リスク軽減のヒントとは?」は、そのタイトルが示すように、インサイダー・リスクにフォーカスしていました。今日の記事にもあるように、インサイダーによる侵害リスクが高まっているのでしょう。元データとなる EisnerAmper Cybersecurity Survey ですが、Web でのサマリーと、PDF のダウンロードで参照できます。
IoT OT Security News 
You must be logged in to post a comment.