インターネットが普及しはじめた頃と比較した場合、セキュリティが明確に脅威となったのは比較的最近と言えるかも知れない。しかし、急激な攻撃の増加は防御の土台が築かれる前に起きている。経済産業省が独立行政法人情報処理推進機構とともにサイバーセキュリティ経営ガイドラインを策定したのが2015年の12月。経営者の積極的な関与や体制の構築やPDCAサイクルによる恒常的な実践など36ページにわたり掲載されている。
しかし、セキュリティ対策に積極的な体制を構築しても必ずしもうまくいくとは限らないようだ。インテル セキュリティは米シンクタンク戦略国際問題研究所(CSIS)と共同で行った調査でも経営者とIT担当者の間における認識の違いや、サイバー攻撃者と企業担当者が得られる報酬の不均衡など、不安定な土台が攻撃側と比較すると不利である領域を報告している。
「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」(偏った現場:報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る/英文 |
現地時間1日に公開されたグローバル レポート「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」(偏った現場:報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る/英文PDF34ページ)は、金融や医療、公共など5つのジャンルに従事する800人のサイバーセキュリティ担当者に対するインタビューとアンケート調査をもとに分析したものだ。
調査を行った対象は、90%以上の組織がサイバーセキュリティ戦略を構築しており、72%が毎朝セキュリティに関するブリーフィングを行うようなしっかりとした企業だ。にも関わらず、その戦略を確実に実践できている組織は半数以下の49%、なかでもIT責任者の約60%は、自社のセキュリティ戦略を完全に実行できていると考えるが、実践する担当者は30%強しか同意していない。上級幹部はコストやパフォーマンスなどによる評価に重きを置くが、オペレーターは脆弱性スキャンやペネトレーションテストなどよりテクニカルな達成に評価を置くためだとレポートしている。
また、攻撃側はアジャイルでスピーディーな組織構造である上に高報酬であり、官僚的な構造になりがちな防御側は報酬にも齟齬や不均衡があるため、構造的に不利になっていることを様々なデータで指摘している。大きな被害を出す前に、均衡のとれた体制が防御側には求められるとして以下のようなサジェストを行っている。
犯罪市場の"サービスとしてのサイバー犯罪(Crime-as-a-service)"モデルに対抗するため、サービスとしてのセキュリティ(Security-as-a-service)を選択する
自社のセキュリティ被害やベストプラクティスなど、情報を公開する
組織の透明性を高める
サイバーセキュリティ人材の採用条件を緩和する
経営陣から現場に至るまで、サイバーセキュリティに関する成果や貢献に対する報酬についての合意を図る
戦略国際問題研究所のテクノロジー ポリシー プログラム担当ディレクター兼上級研究員のDenise Zheng(デニス・ゼン)氏は「戦略を考えることはそう難しいことではありませんが、それを着実に遂行することは大変です。政府や企業がそうしたアンバランスにどう対処するかが、サイバーセキュリティプログラムの効果を決定します。問題は、『何』をすべきかではありません。『なぜ』実行されず、『どうすれば』改善できるかを考えなければならないのです」と戦略策定と戦略実行の間にある溝を指摘している。