Dynatraceは、年次調査レポート「2024年アプリケーションセキュリティの現状」を発表した。
同調査レポートは、1,300名のCISOを対象としたグローバルな調査と、従業員1,000名以上の企業のCEOおよびCFOを対象とした10回にわたるインタビューに基づくもの。
同調査では、組織が社内コミュニケーションの障壁に苦戦しており、それがサイバーセキュリティの脅威への対応を妨げていることが判明した。調査結果によると、CISOはセキュリティチームと経営幹部との連携を図ることが課題だと認識しており、サイバーリスクに対する理解について齟齬が生じていることがわかったとしている。これにより、AIによる攻撃が増加している昨今、組織が高度なサイバー脅威にさらされるという。
主な調査結果は次のとおり。
- 経営幹部と取締役会の連携不足がサイバーリスクをもたらす:CISOはセキュリティチームと経営幹部の連携に課題を感じており、CISOの87%が、「アプリケーションセキュリティがCEOおよび取締役会レベルの盲点である」と回答した
- セキュリティチームのコミュニケーションが技術的すぎる:インタビューに応じた経営幹部の10名中7名が、「セキュリティチームはビジネス上の背景を説明せず、技術的な用語を用いて説明する」と回答。しかし、CISOの75%は、「この問題の根源は、経営幹部や取締役会がビジネスリスクを理解し、脅威を防ぐために使用できるインサイトを提供しきれていないセキュリティツールにある」と指摘している
- AIがより高度なサイバー脅威を引き起こす:AI主導の攻撃やサイバー脅威の増加により、ビジネスリスクが拡大する中、テクノロジーとコミュニケーションの齟齬に対処することがますます重要になるという
このような背景から、CISOの72%が、「過去2年間に自社の組織がアプリケーションセキュリティ・インシデントを経験した」と回答。このインシデントは重大なリスクをともなうものであり、CISOは「収益への影響」(47%)、「規制上の罰金」(36%)、「市場シェアの喪失」(28%)などを自社が経験したという。
その他の調査結果は次のとおり。
- AIの台頭により組織が新たなリスクにさらされる中、セキュリティチームと経営幹部との緊密な連携を促進する必要性が高まっている。CISOの52%は、サイバー犯罪者がAIにより新たなエクスプロイトを作成し、より大規模に実行できるようになる可能性を懸念。また、AIを利用する開発者の45%が、より少ない監視体制でのソフトウェアの提供加速がさらなる脆弱性をもたらすと危惧している
- 解決策を模索する中で、CISOの83%が「AIによってもたらされる脆弱性のリスクを管理するには、DevSecOpsの自動化が重要である」と回答。さらに、CISOの71%は、「アプリケーションのセキュリティリスクを最小化するための適切な対策を実行するには、DevSecOpsの自動化が不可欠である」と回答した
- CISOの77%は、「XDRやSIEMソリューションなどの既存ツールでは大規模な自動化を推進するために必要なインテリジェンスが不足しているため、複雑なクラウドを管理できない」と回答。また、CISOの70%は、「複数のアプリケーションセキュリティツールが必要になることで、異なるデータソースを理解することに時間がかかるため業務効率が低下する」と回答した
【関連記事】
・8月に最も活発だったランサムウェアグループはRansomHub 攻撃の15%に関与──チェック・ポイント
・日立ソリューションズ・クリエイト、セキュリティ人材強化サービスに「FSIRT基礎」追加
・API導入の増加でアジア太平洋地域の金融機関がDDoSとフィッシング攻撃の標的に──Akamai調査
