業界トレンド
組織を新たな脅威と脆弱性にさらすスキルギャップ
重要なサイバーセキュリティ担当者を補充するには400万人近い専門家が必要とされており、世界中の組織は長引くスキルギャップによる影響を実感しています。セキュリティ侵害の要因を1つに絞ることはほぼ不可能ですが、リーダーの58%はセキュリティインシデントの原因として、組織内のIT / サイバーセキュリティのスキルおよびトレーニング不足を挙げています。
たった1度のサイバーインシデントによって、組織は新たな脅威と脆弱性にさらされます。例えば、システムに侵害した攻撃者は、企業の環境に関する貴重な情報を入手し、それを使って新しい攻撃を仕掛けることができます。あるいは、最近被害に遭った組織を格好の標的と見なし、前回の侵害を利用しようとする場合もあります。こうしたリスクを理解して減災策を講じることは非常に重要ですが、特に経営幹部や取締役にとってさらに憂慮すべき問題は、多くの場合、これらのインシデントが事業運営に与える影響です。
だからこそ、人員の確保など重要なリソースの手配も含め、リスク管理戦略のギャップを解消することが、すべての組織を効果的に保護するためには不可欠なのです。
スキル不足はサイバーリスクを増大させ、新たな脅威と脆弱性をもたらす
サイバー犯罪者は常に活動を進化させており、既知の攻撃手法を手直ししたり、生成AIを使って処理を高速化したりしています。したがって、サイバーセキュリティインシデントの世界的な増加も驚くことではありません。フォーティネットのサイバーセキュリティスキルギャップレポート2024年度版によると、昨年に1回以上のセキュリティ侵害を受けた企業は90%近くに上り、2022年の84%、2021年の80%から増加しています。必要なスキルを備えたサイバーセキュリティ専門家の圧倒的な不足は、企業を不利な状況に追いやっています。リーダーの約3分の1は、サイバーセキュリティのスキルギャップが企業のリスクを増加させていると答えています。
侵害はすべての地域で同様に発生しており、組織の平均侵害件数はアジア太平洋地域が最高で3.18件、中南米 / メキシコが最低で2.79件です。侵害が1件もなかったと回答する組織の割合は減少し続け、2021年の20%、2022年の15%に対して2023年はわずか13%でした。
侵害の増加に伴い常態化する脅威
サイバー犯罪の被害に遭う組織が増加すると共に、ネットワーク侵害に使用される攻撃が防御側に広く知られるようになりました。
マルウェア、フィッシング、Web攻撃を合わせると、1年間に組織が受けた全攻撃の80%を占めます。北米ではパスワード攻撃が多く見られ、フィッシングとWeb攻撃の割合はアジア太平洋地域が他地域を上回っています。
広範囲に及ぶサイバーインシデントの影響
サイバーセキュリティインシデントは、金銭的な損失や評判の低下など、組織にますます深刻な影響を及ぼしています。半数以上(53%)のリーダーは2023年の侵害によるコストを100万ドル超と回答し、攻撃による金銭的被害が最も大きかったのは北米とアジア太平洋地域でした。復旧期間については、63%がサイバー攻撃からの回復に1ヵ月以上を要し、平均期間は約3ヵ月でした。
金銭的な影響や長期間に及ぶ復旧に加え、侵害が発生すると企業幹部が責任を問われます。ITおよびセキュリティリーダーの51%は、サイバー攻撃を受けて取締役や経営幹部が罰金、禁固、罷免、解雇などの処分を受けたと回答しました。
堅牢なサイバーセキュリティプログラムに必要なもの:テクノロジー、トレーニング、意識向上
サイバーセキュリティという点において、組織は高いリスクを負っています。侵害による金銭的被害が続いている上、侵害が発生した場合には経営幹部が罰則を科されることもあります。組織のリスクを増大させるスキルギャップの拡大を受けて、多くの企業は新たな創造的アプローチを採用し、必要なスキルを持つ専門家を募集、採用、維持しようとしています。この課題に対処するため、リーダーが独自のイニシアチブを追求し、官民両部門で協力しているのは喜ばしいことです。こうした動きは、組織全体の防御を強化する上で、なくてはならない要素だからです。
こうした複雑な状況を踏まえて、組織はテクノロジー、トレーニング、意識向上を融合した3本柱のサイバーセキュリティアプローチに重点を置く必要があります。フォーティネットはフォーティネット セキュリティ ファブリック プラットフォームを通じて、50を超えるエンタープライズクラスの製品で構成される、大規模かつ統合されたポートフォリオを提供します。また、業界で最も広範なトレーニングおよび認定プログラムの一つであり、受賞歴もあるFortinet Training Instituteでは、すべての人がサイバーセキュリティの資格取得と新たなキャリア形成のチャンスを利用できるようにすると共に、現職の専門家にはスキルセットをさらに高める機会を提供しています。同Instituteには、無料または低費用のさまざまな教育および資格認定プログラムや、多様な経歴の人々がスキルの向上または新しいスキルの習得ができる独自のイニシアチブなどが用意されています。Fortinet Training Instituteには、組織がサイバー意識の高い従業員を育成できるセキュリティ意識向上トレーニングも含まれています。
サイバー犯罪者の活動が沈静化する気配はなく、サイバーセキュリティはすべての組織にとって「総力戦」になっています。企業を侵害から保護するには、高いスキルを持つ専門家が適切なサイバーセキュリティテクノロジーを利用できることが不可欠です。一方、強固な防御の最前線を担えるサイバー意識の高い従業員もまた、重要な存在です。リスク管理戦略の各側面を見直して強化することで、企業は今日の攻撃のスピードと規模に対抗する防御態勢を整えることができます。
