2023年非技術面のサイバーセキュリティトレンドトップ3

サイバーセキュリティのトレンドその1：セキュリティシェルフウェアの管理が重要になる

企業には、購入後ほとんど利用されない、放置されているソフトウェア・ハードウェアが多数存在しています。
海外では、シェルフウェア（Shelf(棚)＋Software/Hardwareをつなげた言葉）とも呼ばれています。クラウドやSaaSサービスといった導入しやすいITサービスの登場などをうけ、企業でのITツールの利用が拡大しましたが、一巡した今、精査・管理の動きが起こっています。

SaaS事業者Vendrの調査によると、実際には必要としない、又は使用していないSaaSツールに、企業は年間約13万5,000米ドルを浪費しているといいます。2020年のGartner社による調査でも、80%の企業がSaaSサブスクリプションの1～49%を活用していないことが判明しています。
企業を取り巻くネットワーク環境の変化、ソフトウェアサプライチェーン上のセキュリティリスクの増加など、守るべき領域が拡大する状況下において、2023年、企業はより強固なシェルフウェア管理(セキュリティリスク面/コスト面)が求められます。
シェルフウェアは、「統合の問題」「部門間のコミュニケーションの失敗」「ベンダーのサポート不足」「CISOの役割の交代」など、さまざまな理由で発生しますが、ここからシェルフウェアを避けるための3つのステップをご紹介します。

1. 本質を見極める：セキュリティ課題が発生したときにピンポイントでソリューションを導入するのではなく、立ち止まってより大きな視点から状況を把握しましょう。原因は単なるメールの問題なのか、それともアタックサーフェス(攻撃対象領域)全体の可視性が不足していることなのかといった視点です。課題の範囲や規模を特定した上で、徹底的な技術評価を行い、導入すべきソリューションが現在と将来のニーズに適合しているかを確認しましょう。
2. ソリューション購入のプロセスに主要なステークホルダーを含める：セキュリティ専門家から開発者まで、購入前にビジネス要件やユーザ要件などを収集・検討し、最大限の効果に向けて注力することです。これにより、各種の要件が満たされた上で効果の高い迅速なソリューションを導入することができます。
3. 導入計画を策定する：利益のみを追求するセキュリティベンダーの中には、契約成立後、ソリューション・製品をどのように展開し、使用するかを購入側に任せて放置してしまうケースもあります。購入する前に、どのようなトレーニング、導入準備、継続的なサポートが含まれているのか、しっかりとベンダーに確認をしておくことが重要です。また、リソースの限られたセキュリティ部門にとって、導入の容易さや使いやすさは検討すべき重要な条件といえます。

サイバーセキュリティのトレンドその2：サイバーセキュリティのスキル不足は今後も課題となり続ける

サイバーセキュリティのスキル不足はある程度横ばいになりつつある一方、企業は依然として高い離職率に悩まされています。情報セキュリティ監査機関ISACAの調査では、60%の企業が有能なサイバーセキュリティ専門家の確保に困難を感じており、やや人手不足または大幅な人手不足を感じていることが報告されています。
高度なセキュリティスキルを持つ人材確保にはコストがかかりますが、企業での財布の紐が固くなっている今、採用予定者に費やすコストや報奨は限られています。離職と採用を繰り返す「回転ドア」となり、結果的に組織の生産性低下を招かぬよう、CISOは本課題に対し継続的に対応をする必要があります。
2021年のISACA調査によると、従業員の定着率は改善を示していましたが、2022年のデータはそれらの改善が逆転していることを示しています。
調査回答者が考える、セキュリティ専門家の離職要因(給与を除く)の上位3つは次のとおりでした。

・昇進や能力開発の機会が限られていること
・業務のストレスレベルが高いこと
・そして経営陣のサポートが得られないこと

前年の調査に比べて回答率が上昇した項目は「業務のストレスレベルの高さ」です。業務のストレスには、人員不足による業務過多、重大度の高い脆弱性が立て続けに開示される、対処が困難な無差別で動的なサイバー脅威の状況、サプライチェーンの危殆化など、複数の要因が影響すると考えられます。
人員維持・確保のために2つ紹介します。

1. 給与以外の競争力を強化：従業員エンゲージメント強化を図る
予算が平準化し続ける可能性がある状況下において、人材の調達と維持に際限なく対応できる企業は多くないでしょう。
従業員の業務・職場ストレスを緩和するためにどのような環境が効果的であるか、どのようなサポートが必要なのか、ライフスタイル・価値観が多様化する現代において、個々の従業員に寄り添った対応が求められます。
「エンゲージメント」の強化を図ることは、優秀な人材の流出を防止し、生産性や業務効率の高い組織を作る、給与以外の競争力一つの策となるでしょう。
職務(職務や裁量にやりがいを感じているか)、自己成長、上司や同僚からのサポート、人間関係、承認、健康、企業の理念・戦略への共感や信頼、組織風土、職場環境といった総合的な指標で個人やチームの状態を見て課題を認識し、対話や振り返りにつなげたり、必要に応じて早期対応を図りましょう。

2. 組織に有益な人物像を定める：求める人材像・要素の整理と再分類
採用は企業と働き手のマッチングです。また、組織は人で構成されているため、新卒採用か中途採用に限らず、単なるスキルの補填によって良い組織が作れるわけではありません。
良い組織構成のために必要な能力は何か、学位・資格・経験・スキルは何か、それは必須条件である必要があるのか、組織が最大の力を発揮するために必要なチームメンバーの価値観・性格はどのようなものか、広い視点で考え、採用計画に落とし込みましょう。
ISACAのレポートによると、「大学の学位」は昨今人気を失っており、入門レベルを満たすために大学の学位を必要とする組織は52%にとどまります。もちろん大学の教育プログラムや正式な学位にはメリットがあります。しかし、回答者は特に初級レベルの職について、学位要件を削除する動きがあることも確かです。
学位を「必須条件」と「任意条件(望ましい)」に再分類することによって、潜在的な人材プールを増加させることになります。大学学位は一例であり、資格や経験など他の要素においても同様のことが言えます。

サイバーセキュリティのトレンドその3：CISOはシャドーITと分散型ITによりさまざまな課題に直面する

DX、クラウド導入の加速化、リモートワークの増加などにより、単一的に状況を把握できるITの時代は終わりを告げ、状況の把握が困難な分散型ITやシャドーITが流入しています。また、シャドークラウド／SaaSやシャドーOTなど、企業のCISOや購買部門が把握することができず、IT部門が直接管轄していない領域でもあるため、こうした場所のセキュリティ対策も懸念されます。
このように高度に分散化した状況の企業は、遠隔地、本社、クラウドなどに散在するシステムとデータを保護しなければならない（コストのかかる）課題に直面しています。こうした問題は、独立企業がそれぞれ事業を実行している持株会社のような組織にとっては、特に深刻な懸念となってしまいます。
未承認のアプリやデバイスをブロックするだけでは、シャドーITの問題は解決しません。従業員はそのようなブロックを回避して業務をする抜け道を見つけるでしょうし、もとより何をブロックして許可する必要があるのかを正確に把握することはほぼ不可能だからです。

CISOは、このように深刻化するさまざまな懸念に対処するための新たなアプローチを必要としています。適切な技術を導入するだけでなく、強固なセキュリティ文化を全社的に確立する必要があります。そして、このような状況下で、組織のニーズ・懸念・要求・習慣を理解することは、セキュリティ部門のリーダーがスタッフの言葉を理解し、効果的なトレーニングを実施する上でも有効となります。
そして上級管理職や経営幹部に対するセキュリティ教育は、他の従業員に対するものよりもさらに重要となります。特にセキュリティ、データプライバシー、コンプライアンス、リスク管理といったセキュリティ対策全般について、経営幹部、ビジネスユニットのリーダー、技術者への教育は重要です。これにより、どのような状況が一線を越えた事態であり、IT部門へ連絡する必要があるタイミングであるかを正しく理解してもらえるようになります。また、CISO自身も、経営幹部やビジネスユニットのリーダーに対しセキュリティの重要性やリスクを伝える際には、技術的見解を述べるのではなく、ビジネス目標を達成するために考慮が必要なリスクは何か、情報セキュリティがどのように役立つのか、経営的観点で会話を進めることが重要となります。

本記事は2022年12月にUSで公開された記事を再編集したものです。
翻訳： Core Technology Marketing, Trend Micro™ Research