EYは、EY 2023 Global Cybersecurity Leadership Insights Study(EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2023)を発表した。同調査によると、サイバー脅威の増加とともに関連のセキュリティ支出は増加傾向にあるものの、サイバーセキュリティリーダーは、自組織における防衛力の有効性の確保に苦心していることが明らかになったという。
世界中のサイバーセキュリティリーダー500名を対象に実施された同調査では、5人に1人しか自組織のセキュリティアプローチについて「現在および将来のサイバーにおける脅威に対し有効である」と感じていないとのこと。また、半数の回答者がサイバーセキュリティ研修の有効性に懐疑的であり、IT部門以外での最善の対策に準拠するレベルに満足していると回答したのは、わずか36%だった。
一方、2022年のサイバーインシデント件数は平均44件で、セキュリティ関連の投資コストが増加していると回答。チーフ・インフォメーション・セキュリティ・オフィサー(CISO)によると、サイバーセキュリティに関する支出は年間で平均3500万米ドル、組織への侵害による被害額の中央値は、2023年に12%増の250万米ドルとなり、今後400万米ドルに達すると見込まれるという。
このように多額の投資を行っているにもかかわらず、セキュリティインシデントの検知と対応に時間がかかり、回答企業の4分の3以上(76%)が、平均6ヵ月以上を要していると回答している。
簡素化による防衛力の強化
同調査では、統計モデリングを⽤いて、効果的なサイバーセキュリティ対策を講じている企業を特定し、このグループを「セキュアクリエイター(Secure Creators)」と名付けた。その「セキュアクリエイター」の70%が、先端技術を積極的に採用しており、人工知能(AI)・機械学習(ML)(62%)や、セキュリティにおけるオーケストレーションとオートメーションによるインシデント対応(SOAR)(52%)などのソリューションから価値を引き出すことに注力している。こうしたソリューションは、サイバーセキュリティ・インシデントの的確な把握を可能にするという。
また、セキュアクリエイターは、自組織が利用するクラウドやビジネスパートナー、サプライチェーン内の取引先など複数のソースからの攻撃に対応するための戦略を策定・実行しているとのこと。こうした企業の回答者は、サプライチェーンに起因するサイバーリスク(38%)や、知的財産保護などの関連リスク(38%)を非常に懸念していると回答する割合が他の領域との比較で2倍近く高い傾向があるとしている。
もう一つ特筆すべきこととして、セキュアクリエイターは、サイバーセキュリティの考え方と研修を経営幹部から従業員にまで浸透させている。その結果として、このような組織のCISOは、自組織のサイバーセキュリティ・アプローチを「変革とイノベーション(56%)のスピードや、市場機会への迅速な対応能力(58%)、価値創造に注力する能力(63%)にポジティブな影響をもたらし得る」と評価しているという。
EYストラテジー・アンド・コンサルティング サイバーセキュリティリーダーパートナー松下直氏は以下のように述べている。
「多層防衛のための複数のセキュリティ対策ツールの導入により、人手によるインシデント検知と対応のオペレーションがより複雑になる傾向があります。サイバーリスクの軽減のために、サイバー攻撃の分析とインシデントの検知・対応の一連のオペレーションをセキュリティ対策の自動連係により簡素化することに今こそ取り組むべきです」
【関連記事】
・EYSC、千葉県印西市と「こどもデータ連携実証事業」における実証事業を開始 AIを活用し家庭支援へ
・EY、2024年に通信事業者が直面するリスクトップ10を発表 人材不足によるリスクが3位に浮上
・EY、企業のAI導入/活用を支援する統合型プラットフォーム「EY.ai」を開始
