企業のサイバー脅威管理を支援しようとする行政にとって、大胆さは不可欠

サイバーセキュリティ脅威の高まりに関する話題

サイバーセキュリティに対する脅威が高まる中、イギリスでは顧客に対する企業の責任が話題になっています。先週、消費者監視団体Which?は政府の新しい不正対策特別委員会に企業が顧客をサイバー犯罪から守り、違反に対し賠償をさせるようにすることを要求しました。月曜日に発表された政府自体のサイバーガバナンス ヘルスチェックレポートによると、大手企業はサイバーセキュリティの重要さを理解しているものの、行動を取るために必要な情報を収集できていません。

昨年、イギリス企業の3分の2がサイバー攻撃の標的にされていたことが行政の調査報告書により明らかにされ、政策立案者は各企業が適切な対応を取ることを保証する方法を積極的に模索しています。しかし、単に顧客データを失った会社に罰金を課すだけでは、真に責任を果たさせることはできません。直近の調査報告書であるアカウンタビリティの欠落における最も重要な発見は、NED、Cレベル、およびCIO-CISOレベルの各役職にわたり、5人中2人の回答者が、サイバー攻撃による影響に対して責任を感じないと認めたことでした。

アカウンタビリティの不一致

これは、多くの現代企業における大きなギャップを明白にするものです。顧客に対する賠償は大きいものの、全体的には企業のリーダーたちが顧客データのセキュリティに関しては責任を取っていないという事実は変わりません。ロンドン大学、NasdaqおよびGoldsmithsと協力して実施されたイギリスでの研究においては、最も無防備な上級幹部のうち、わずか29％しかサイバーセキュリティに関するリスク評価を行っていないことを示しています。全体では、最も無防備な企業のわずか10％の幹部しか、事業に影響を与える可能性のある脅威の種類に関して定期的に報告を受けておらず、98％は自分の企業が全てのコンピュータおよびユーザを全システムにわたり追跡できる自信がないことがわかりました。このアカウンタビリティの欠落は、日々強まる脅威レベルに合わない意識と心構えの低さとして現れています。これは、多くのFTSE100社を含む多数のイギリス企業にとって大きな問題をもたらします。

サイバーセキュリティは、最近ついに重役会において重要視され始めていますが、これは十分というには程遠いものです。警戒心は企業全体にわたり常に働いている必要があり、サイバー知識は全レベルにおいて改善されなければなりません。さらに、企業のリーダーたちは、企業を保護するために使用しているテクノロジーを真剣に目を向ける必要があります。たとえば、ごく基礎的な質問である「ネットワーク上には何台のデバイスがありますか」というような質問に答えることができるでしょうか？これは技術的な関心事ではありません。当然のことですが、存在すること自体知らないものを保護することはできないのです。

今年の後半に、イギリス政府は改定された国内向けサイバーセキュリティ戦略を発表します。企業、顧客、そして各部門がサイバー脅威に立ち向かうための新しいアプローチに乗り出します。秋には、民間企業がこの戦略を展開することを支援するために新しい国立サイバーセキュリティセンター(NCSC)を開設します。どれも歓迎されるべき事柄ですが、注力すべきは企業内においてアカウンタビリティを果たす文化を醸成することでしょう。

当社は、政府による企業向けアドバイスが次の4つの重要な領域を対象にすべきだと考えます。

• サイバーセキュリティ脅威への関心を高める：政府は、さまざまな違反の高まるリスクを計測および伝えることのできる重要な位置にあります。
• 企業にベストプラクティスを指導する：行政はサイバーセキュリティ業界と相談した上で、ベストプラクティスに関する考え方を構築し、NCSCを通して各会社がアプローチの変更実施を支援します。
• 技術に精通した労働力を支援する：サイバー分野における人材不足に対応するために、ITセキュリティ分野のコースが履修可能かつ安価であることを保証します。

この過程の全てを通して、Taniumはセキュリティに対してさらに包括的なアプローチを求めるキャンペーンの一翼を担います。ネットワークの可視性、強力な対応計画、従業員のトレーニング、知識の蓄積、そして情報の共有は、会社のITセキュリティを強化するために非常に重要な要素です。行政は、脅威のスケールを確実に理解するだけでなく、それに合ったソリューションを推奨する必要があります。

---

Taniumのソリューションを実際に見てみませんか？対面のデモを申込むか、毎週開催しているウェビナーにご参加ください。またはイベントでTaniumのエキスパートに直接ご相談ください。