ウィズセキュアは(旧社名: F-Secure)4月4日、Forrester Consultingに依頼し2022年12月に8カ国(日本、フィンランド、デンマーク、フランス、ドイツ、スウェーデン、イギリス、アメリカ)の企業・団体のITおよびサイバーセキュリティ製品・サービス導入における最終的な意思決定者、意思決定に関与する立場、意思決定に影響を与える立場にある409人を対象に実施したリサーチ結果を公表した。

これによると、企業はサイバーセキュリティに対して消極的なアプローチを取っており、それが企業価値の向上とビジネス上のアウトカム(成果)達成との歩調に乱れをもたらす原因となっていることが明らかになったという。

従来、多くの企業ではサイバーセキュリティにおいて、存在するサイバー脅威は何か(脅威ベース)、保護すべき資産は何か(資産ベース)、対応すべきリスクは何か(リスクベース)のアプローチを採用していた。

それに対し、同社では企業そのものの成果(アウトカム)を基にする「アウトカムベースセキュリティ」という考え方を推進。

  • 「アウトカムベースセキュリティ」の概要

    「アウトカムベースセキュリティ」の概要

今回の調査にといて、回答者の60%はサイバーセキュリティ上の問題が発生した後に腰を上げるという受動的な対応をしていると回答しており、多くの企業のサイバーセキュリティへの取り組みが消極的なものであることが分かったという。

  • 「60%の企業がリスクに対して受動的かつ場当たり的なアプローチに終始しているという

    60%の企業がリスクに対して受動的かつ場当たり的なアプローチに終始しているという

しかし、83%の回答者がアウトカムベースのセキュリティソリューションやサービスというコンセプトに関心を持っている、または今後の採用を計画していると回答している。

業種別では、製造業では71%がこうした受動的な対応をしているのに対し、規制の厳しい金融サービス業では受け身のアプローチを取っている企業は半数強にとどまるなど、業種によって多少の違いが見られたと指摘。

業種を問わず、こうしたセキュリティに対する受け身のアプローチが企業・団体にとって大きな問題であるということは広く認識されており、回答者の71%が毎年サイバーセキュリティの予算を増額しているにもかかわらず、全体の90%が事後対応型のアプローチでは有事の際にさまざまな問題が生じるであろうと回答している。

  • 業種別のサイバーセキュリティにおける課題

    業種別のサイバーセキュリティにおける課題

一方、回答者が最も重要視している課題はサイバーリスクの可視化、必要なスキルやリソースの確保、迅速かつ効果的な対応などとなっている。

回答者がセキュリティに求めるアウトカムとして最も多かったのはリスク管理で、対象者の44%がセキュリティにおける最優先目標を達成するためのリスク軽減を望んでいる、と回答。また、40%の回答者がカスタマーエクスペリエンス(顧客体験)を向上させるためのセキュリティを望んでおり、続いて34%の回答者が売上の増加を挙げている。

  • 対策を通じて達成したビジネスアウトカムのトップ5

    対策を通じて達成したビジネスアウトカムのトップ5

多くの回答者がセキュリティに明確なアウトカムを期待している半面、セキュリティにおける優先順位とビジネスにおけるアウトカムが完全に一致していると回答する企業は約20%に過ぎないという。

サイバーセキュリティをビジネスアウトカムに結びつける取り組みには、多くの課題があるものの、セキュリティの優先順位がビジネスアウトカムにどの程度役立っているかを評価することも、同じくに問題であり、回答者たちは以下のものを重要課題として挙げている。

  • 42%は、セキュリティの価値を評価すべき現状と目標状態の成熟度について十分な理解をしていない
  • 37%がサイバーセキュリティの価値測定は困難だと感じている
  • 36%は、一貫性を持ち有意義なデータを取得することは困難であると感じている
  • 28%が、セキュリティの価値を示す際に、効果的なセキュリティ対策を採用するとその価値を示す機会が減ってしまうというセキュリティのパラドックスを克服しなければならないことが大きな課題だと感じている
  • 23%は、サイバーセキュリティの指標を経営陣が理解でき意味のあるものに変換することが困難であると感じている