企業や学校などの組織では、セキュリティ脅威に対して万全の対策を取っていると自信を持っているものの、新しいテクノロジーモデルや、高度な脅威に関連する危険性に対する備えはできていない可能性があることがCompTIA米国本部の調査から分かった。
CompTIAの第11回情報セキュリティ動向の調査では、参加した企業の82%が、現在のセキュリティレベルに対して
「十分に満足している」 または 「ほぼ満足している」 と回答している。
しかしながら、過去2年間に自社のセキュリティ対策に抜本的な変更を行ったとした企業は、わずか13%にとどまることがわかった。変更を実施した時期に対しての回答は、クラウドコンピューティングの採用、社員自身のモバイルデバイスの持ち込み(いわゆる、BYOD)の実施時期、ソーシャルツール使用の拡大といった事項がある。
「新しいテクノロジーを導入することは、必然的にセキュリティアプローチへの変更が伴います。」CompTIA テクノロジー分析ディレクタのSeth
Robinsonは言う。「企業がセキュリティを最優先事項としているのは明確です。しかし、IT新時代に適切とされるセキュリティ体制の構築にどのような取り組みが必要であるのか、企業や学校にとって、十分な認識はされていないようです。」
多様にわたる脅威がある中で、企業や学校の懸念レベルは、過去数年間大きな変化は見られない。大半の企業は依然としてハッキングやマルウェアを、重要な脅威として見なしている。しかし、アドバンスドパーシスタントスレット攻撃(APT攻撃)、DoS攻撃、IPv6攻撃、モバイルマルウェアといった新たな脅威は急速に蔓延し続けている。
「多くの組織が、セキュリティ上の弱点を理解し、適切なセキュリティの構築を目的とした対策を検討し、実施することなく、セキュリティレベルが十分であると“過信”している可能性があります。」Robinsonは言う。「真のセキュリティ対策には、ビジネスのトップレベルから、すべての部門まで、総合的なセキュリティアプローチが見直される必要があります。」
セキュリティと人的要因
セキュリティにおけるインシデント発生の人的エラーは、CompTIAが調査してきた11年間を通して、変わることなく、主要な要因の一つになっている。人的エラーは、セキュリティ違反の根本原因の大半を占める。調査に参加した企業でも、51%の企業が、過去2年間での増加を報告している。これはクラウドコンピューティング、モビリティ、ソーシャルメディアが企業に浸透していることが原因として考えられる。
注目すべき点は、人的エラーを深刻な懸念として捉えている企業がごくわずか(21%)であるという点だ。
「エンドユーザーは、ITチームの管理下ではないところで、デバイスや企業の重要なシステムにアクセスする機会が増えています。」Robinsonは言う。「多くの社員は、デバイスやシステムの利用はできたとしても、ほとんどの場合、潜在する脅威セキュリティを認識できるようなセキュリティの予備知識や経験を持ち合わせてはいません。」
またこうした調査では、一貫した問題があることがうかがえる。
それは、正しいスキルを持つセキュリティプロフェッショナルの確保に企業は苦戦しているということだ。クラウドセキュリティ、モバイルセキュリティ、データ漏えい防止、リスク分析の4つの分野は、2013年に最もスキルが足りないと指摘された上位分野である。
そうした問題を解決するソリューションの一つが、ITプロフェッショナルのためのセキュリティ認定資格とされる。企業の3分の2が、セキュリティ認定資格を持つITワーカーは、企業にとってますます重要となると回答している。また、86%は認定資格を持つセキュリティワーカーがもたらす費用対効果を、「中程度」〜「高い」と評価している。
CompTIAの第11回情報セキュリティ動向の調査は、米国を拠点としたIT関連の意思決定者を中心とする500のITプロフェッショナル、ITチャネル企業500のエグゼクティブを対象に実施したオンラインアンケートがもととなる。
調査の詳細がわかるグラフは以下から閲覧が可能(英語)。
http://www.slideshare.net/comptia/comptia-11th-annual-information-security-trends
|