カスペルスキーは3月7日、企業の経営幹部とIT部門とのサイバーセキュリティーに関する対話上の課題について調査したレポートを発表した。
本調査は、24の国と地域のITもしくはITセキュリティー部門以外の経営幹部2300人を対象に実施。調査の結果、経営幹部の5人に1人が、サイバーセキュリティーに関する議論中に理解不足を伝えようとしないことなどが明らかになった。
本調査では、ITもしくはITセキュリティー部門以外の経営幹部のうち22%(日本16%)は、ITもしくはITセキュリティー部門との会議中に理解できないことがあっても、それを伝えることをためらうと回答した。その理由としては、会議後にその関係者に確認したい(全体50%、日本63%)、または自分で解決したい(全体38%、日本50%)が大半である一方で、IT担当者から分かりやすい説明があるとは思えないという回答も37%(日本44%)に上った。
また、34%(日本44%)が話題を理解できないと明かすことをきまり悪く感じており、33%(日本63%)はIT担当者から知識不足だと思われたくないとも考えている。
さらに、調査対象のすべての経営幹部が、セキュリティー関連の課題についてITセキュリティーマネジャーと定期的に話し合う機会があるものの、全体のおよそ10%の回答者が、ボットネット(全体12%、日本27%)、APT攻撃(全体11%、日本37%)、ゼロデイエクスプロイト(全体11%、日本33%)といった脅威について聞いたことがないと回答した。
一方で、スパイウェア(全体81%、日本73%)、マルウェア(全体84%、日本67%)、トロイの木馬(全体82%、日本79%)、フィッシング(全体83%、日本89%)に対する経営幹部の認知度は、全体で80%を超える結果になった。
サイバーセキュリティー用語については、およそ10%の経営幹部が、DevSecOps(全体13%、日本38%)、ゼロトラスト(全体11%、日本22%)、SOC(全体11%、日本32%)、侵入テスト(全体11%、日本32%)を聞いたことがないと回答した。
カスペルスキーは、企業のITセキュリティー部門とビジネス部門との対話を円滑に進めるために、次の事を推奨している。
・ITセキュリティー部門は、何かを禁止する方策から脱却して、どのようにすればサイバーセキュリティーのリスクを軽減しながらビジネス目標を達成できるかを説明する。
・CISOが積極的に業務活動に関与し、会社の利害関係者との関係を構築する。営業、財務、マーケティングなどの幹部と協力関係を築いているCISOは20%未満であり、CISOが最新のビジネスニーズを把握し続けることは困難となっている。
・経営幹部に伝えるときは、専門家による脅威の概要、自社が受けている攻撃状況、ベストプラクティスに基づく論拠を使用する。
・ITセキュリティー部門の主な責任について経営幹部に説明する。可能な場合は、CISOの立場を体験する機会を提供し、最も重要なITセキュリティー課題に関する洞察を得られるようにする。
・効果とROIが実証されたツールにサイバーセキュリティーの投資を割り当てる。つまり、誤検知率が低く、短時間で攻撃を検知し、攻撃(またはそのほかの指標)あたりに費やされる時間が短いツールが、どのITセキュリティー部門にとっても重要となる。
経営幹部とITセキュリティー担当者のコミュニケーション問題についての詳細は、Dailyブログ「Fluent in Infosec: Are c-level executives and IT security managers on the same page?」(英語)で公開している。
