セキュリティチーム全体のスキルを高めるとともに、成果を測るためのメトリックス（指標）に大きく依存することで、組織におけるサイバーセキュリティの有効性を高めることが、CompTIAが実施した調査で分かった。

2018 Trends in Cybersecurity: Building Effective Security Teams（2018年サイバーセキュリティの傾向：実践的なセキュリティチームを作る）では、複雑さが増す環境下における、組織のデータ保護およびプライバシー保護の扱いに対する取り組みを調査している。具体的には、内部リソースと外部パートナー両者を使い、どのようにセキュリティチームが構成されているかに焦点が当てられる。調査には、米国に拠点を置く企業400社が参加した。

調査では、成果を測り、投資判断を下すためのセキュリティメトリックスの使用において重要性が増していることが明らかとなった。

「組織におけるセキュリティ機能において、メトリックスを頻繁利用しているのは、5社中1社の割合であっても、中適度利用とする企業は50％にもなります。」CompTIAのテクノロジーアナリシスのシニアディレクタSeth Robinsonは言う。

「サイバーセキュリティ分野におけるメトリックスの使用は、ビジネスの数あるパーツをまとめることのできる絶好の機会となります。執行役レベルから経営層、セキュリティ実務に携わる人たちまで、適切なメトリックスを設定し、目標に対する進捗を見直すことに誰もが強い関心を持っています。」Robinsonは述べている。

Robinsonは、セキュリティメトリックスを確立するための最も重要なガイドラインは、セキュリティのあらゆる側面が網羅されていることを確実にすることだと言う。ガイドラインには、以下が含まれなければならない。

●　テクニカルメトリックス。異常と判断されたネットワークトラフィックの割合など

●　コンプライアンスメトリックス。成功した監査の数など

●　ワークフォースメトリックス。セキュリティトレーニングを修了した従業員の割合など

●　パートナーメトリックス。セキュリティ言語を使用した外部契約の数など

セキュリティチームのスキルアップ

セキュリティメトリックスの使用と、セキュリティチームの形成は、相互に補完的な活動とされるべきであるが、多くの組織ではある程度のスキルアップが必要となる。

「ネットワークセキュリティ、エンドポイントセキュリティ、脅威認識など基礎的スキルは、依然として強力なチームの基盤を形成しますが、クラウドとモビリティがIT運用に浸透するにつれ、他のスキルも同等またはそれ以上の重要性を担います。」Robinsonは言う。

CompTIAの調査では、組織は、脆弱性アセスメント、脅威に関する知識、コンプライアンスと運用セキュリティ、アクセス制御とアイデンティティ、インシデント検出と対応などにおける、幅広いスキルの改善が必要と回答している。

そうしたスキルギャップを埋めるために、企業はまず従業員のトレーニングや、第三者のセキュリティ専門知識の利用の拡大を試みている。従業員の追加や、新たな提携に関しては、二次的考察であった。また、業界認定資格もスキルギャップを埋める役割を果たすとされている。

外部リソースの使用に関しては、78％の企業が、セキュリティニーズの一部または全部を外部パートナーに委託している。多くの企業が、複数のパートナーに依存していることから、サイバーセキュリティの複雑さを表している。

調査対象となる企業の約半数（51％）が、一般的なITソリューションプロバイダを使用。38%は（物理的セキュリティとITセキュリティの両方を管理するような）一般的なセキュリティ会社を使用している。約35%の企業が、マネージドセキュリティサービスプロバイダなどITセキュリティ会社と取り組みを行っている。さらに、29%は、デジタルマーケティングやコンテンツ管理などの技術ビジネスサービスを提供する会社を使っている。

CompTIAの調査、2018 Trends in Cybersecurity: Building Effective Security Teams（2018年サイバーセキュリティの傾向：実践的なセキュリティチームを作る）は、以下米国本部ウェブサイトより閲覧が可能（英版版）。日本語版は、日本支局ウェブサイトにて公開予定。
https://www.comptia.org/resources/cybersecurity-trends-research