Most mid-sized businesses lack cybersecurity experts, incident response plans
2023/03/20 HelpNetSecurity — Huntress の調査によると、米国/カナダの全企業の 99%が中小企業であり、サイバー・セキュリティの課題に直面していることが判明した。この調査の目的は、組織構造/リソース/サイバー・セキュリティ戦略などに関する洞察を得ることにある。具体的に言うと、ツールキット/計画/人員配置/セキュリティ意識のトレーニングなどに加えて、サイバー・セキュリティ保険の確保の難しさといった、主要な課題を文脈化して示している。
中小企業におけるサイバー・セキュリティの課題
以下は、今回の調査対象となった、中小企業からの回答である。
- 49%:2023年にサイバー・セキュリティの予算の増額を計画している
- 24%:過去1年間にサイバー攻撃を受けた。また、受けたのは分からない
- 61%:組織内にサイバー・セキュリティの専門スタッフを配置していない
- 47%:現時点でインシデント対応計画を策定していない
- 27%:サイバー保険に未加入
Huntress の CEO である Kyle Hanslovan は、「この調査は中小企業にとって、”二都物語” だと言える。多くの企業がサイバー防衛策の強化を着実に進めている一方で、リソースや人材に大きな格差があり、サイバー・リスクを大幅に高まっていると認識している企業もある」とコメントしている。
セキュリティの基本を実践することの難しさ
中小企業では、サイバー・セキュリティ戦略の必要性が高まり続けている。しかし、ツールの数が多いからといって、必ずしも保護が強化されるとは限らない。
研究者たちが指摘しているのは、脅威の監視/エンドポイントの検出と対応/脆弱性スキャン/パッチ管理/ネットワークの検出と対応などを、導入していない回答者が多いことだ。
さらに最も懸念されるのは、回答者の 47%が、現時点でインシデント対応計画を策定していないと回答している点だ。これは、セキュリティ・インシデントが発生した際に、迅速かつ効果的に対処できず、組織が重大な不利を被ることを意味する。
中小企業では、必要なセキュリティ・ソリューションが不足しているだけでなく、基本的なトレーニングの実施や、必要なスタッフの確保にも苦慮している。実際に、回答者の 61%は、組織内にサイバー・セキュリティの専門家がいないと答えている。また、従業員がセキュリティのベスト・プラクティスを遵守していると答えたのは、わずか 9%だった。
このようなギャップは、今日の高度な脅威の状況下で、サイバー攻撃を撃退する際に大きな障害となる。防御側のリソースが少ないほど、サイバー犯罪者が防御を突破するルートが増えるからだ。
このような課題は、あらゆる規模の企業に存在するが、中小企業では資金やリソースに余裕がないことが多く、必要な人材の効果的な採用/維持が、難しくなっているのが現状だ。
サイバー保険の難しさ
中小企業は、サイバー保険の確保に踏み切る際に、セキュリティ・ギャップの残存効果を実感している。サイバー保険の需要は高まっているが、基本的なことが十分に満たされていないため、保険の確保が難しくなっている。
調査結果によると、回答者の 69%が、何らかのサイバー保険の加入を義務付けられていると回答している一方で、30%近くがサイバー保険に加入していないと回答している。つまり、サイバー防衛を確実に行うためには、サイバー衛生を直ちに強化する必要性が示されている。
この記事のベースになっている、Huntress の The State of Cybersecurity for Mid-Sized Businesses in 2023 は、たくさんの統計値をグラフで表し、中小企業とセキュリティのギャップを示しています。なお、原文にあった “Tale of Two Cities” ですが、ディケンズの二都物語のことでした。読んだことのない小説だったので、Wikipediaで調べたら、フランス革命前後のパリとロンドンを行き来する人々の物語でした。こんな比喩を用いる、Huntress の Kyle Hanslovan さんは、なかなか面白い人のようです。
IoT OT Security News 
You must be logged in to post a comment.