サイバーレジリエンスは“製品だけ”では実現しない データが示す“人材不足”という最大リスク
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーレジリエンスには製品と人材が含まれる」を再編集したものです。
サイバーセキュリティ技術がより高度化し、自動化され、AI駆動型になるにつれて、侵害の発生頻度が減少していると考えるのが妥当でしょう。データは異なるストーリーを物語っています。2025年グローバルサイバーセキュリティスキルギャップレポートによると、侵害は依然として広範囲に及び、コストがかかり、ますます破壊的であり、その主な理由は人的リスクとスキル不足が組織全体で持続しているためです。
2024年だけで、組織の86%が少なくとも1件のサイバー侵害を経験し、28%が5件以上のインシデントを報告しています。これらの組織の半数以上が、侵害関連のコストが100万ドルを超えたと報告しています。これらの結果は、多くのセキュリティリーダーがすでに理解している現実を示しています: テクノロジーだけではレジリエンスを実現できません。人材が実現するのです。
人的リスクは依然として主要な攻撃ベクトルである
スキルギャップレポートは、組織が最も脆弱な箇所について明確に示しています。侵害の主な原因を特定するよう求められたとき、回答者は次のように挙げました:
・サイバーセキュリティ意識の欠如(56%)
・ITセキュリティスキルとトレーニングの欠如(54%)
・サイバーセキュリティ製品の欠如(50%)
この順序が重要です。認識とスキルのギャップは、ツールの不足よりも上位にランクされています。これは、クリティカルなポイントを強調しています。従業員や実務者が脅威を認識し、システムを正しく構成し、プレッシャーの下で効果的に対応するための知識を欠いている場合、十分な資金を投入されたセキュリティシステムでさえ失敗します。
この人的リスクは、攻撃タイプにおいて最も顕著です。マルウェア、フィッシング、およびWebベースの攻撃は、インシデントの78%を占めており、これは過去数年と一致しています。これらの攻撃が成功するのは、防御が存在しないからではなく、人々が騙されたり、圧倒されたり、準備不足であったりするためです。
トレーニングは、事後対応ではなく予防的統制でなければならない
注目度の高い侵害が何年も続いているにもかかわらず、多くの組織は依然としてトレーニングを事後対応策として扱っています。スキルギャップレポートは、攻撃を経験した後、次のことを示しています。
・組織の63%がITまたはセキュリティチームを拡大
・62%が認定資格を義務化
・59%が意識向上トレーニングを導入または拡大
これらの対応は、スキルと教育の重要性を認識していますが、多くの場合、手遅れになってからです。侵害後に実施されるトレーニングは、将来のリスクを軽減する可能性がありますが、最初のインシデントやすでに発生した損害を防ぐことはできません。
サイバーレジリエンスには、トレーニングを攻撃サイクルのより早い段階にシフトすることが必要です。意識向上プログラムと役割ベースの教育は、初日から開始し、継続的に実施され、強化され、進化する脅威に合わせて調整される必要があります。1回限りのトレーニングセッションや年次のチェックボックス的なプログラムは、敵対者が継続的に適応する環境では不十分です。
意識向上トレーニングは基盤である
すべての従業員が潜在的な標的です。フィッシングキャンペーン、認証情報の窃取、ソーシャルエンジニアリング攻撃は、ますますパーソナライズされ、AIによって支援されるようになっており、トレーニングなしでは検知が困難になっています。
スキルギャップレポートは、サイバーセキュリティ意識の欠如が依然として侵害の主な原因であることを強調しています。このため、意識向上トレーニングは、オプションの追加機能ではなく、基本的な管理策となります。効果的なプログラムは次のことを実現します。
・従業員に一般的な攻撃手法を認識する方法を教える
・日常のワークフロー全体で優れたセキュリティ衛生を強化する
・フィッシングや認証情報の侵害が成功する可能性を低減する
・セキュリティに対する責任の共有意識を醸成する
意識向上は、最前線の従業員だけにとどまらず、さらに広げる必要があります。経営幹部や取締役会メンバーは、優先事項、資金、文化に影響を与えるため、先頭に立ってリードする必要があります。経験上、リーダーシップにサイバー意識が欠けている場合、組織は予防的管理策と人材育成への投資が遅れることが示されています。
スキル不足がインシデントを危機に変える
意識向上に加えて、レポートはスキル不足の複合的な影響を強調しています。組織の67%が、サイバーセキュリティスキルギャップが全体的なリスクを増大させると述べています。熟練した実務者が手薄になったり、完全に不在になったりすると、インシデントがエスカレートします。
スキルギャップは次の点に影響します。
・検知:アラートが未確認のままになったり、誤解されたりする
・対応:チームが複雑な攻撃シナリオの経験を欠いている
・復旧:修復と検証に時間がかかる
これは復旧データに反映されています。組織の59%が、サイバー攻撃からの復旧に1か月以上かかると報告しています。このような復旧の遅れは、財務上の損失、業務の中断、評判の低下を増幅させます。
役割ベースのトレーニングと認定資格がギャップの解消に役立つ
これらの課題に対処するには、認識だけでは不十分です。組織には、時間をかけて技術スキルを構築し検証する、体系的な役割ベースのトレーニングが必要です。
認定資格はここで重要な役割を果たします。レポートによると、IT意思決定者の89%が専門的な認定資格を持つ候補者の採用を好み、組織の86%がすでに認定資格を持つチームメンバーを擁しています。これらの数字は、準備状況の指標としての認定資格に対する信頼を反映しています。
適切に設計された認定プログラムは次のことを実現します:
・実践的な技術能力を検証する
・スキルを実際の職務責任に合わせる
・基礎知識から高度な専門知識への進歩をサポートする
・テクノロジーと脅威の進化に応じた継続的な学習を強化する
役割ベースの認定資格により、セキュアネットワーキング、クラウドセキュリティ、セキュリティオペレーション、アクセステクノロジーが一貫してカバーされ、ハイブリッド環境全体のギャップが削減されます。
継続的な学習は1回限りのトレーニングに勝る
レポートから得られる最も重要な教訓の1つは、サイバーセキュリティスキルは劣化するということです。AI駆動型攻撃、クラウドネイティブアーキテクチャ、ネットワーキングとセキュリティの統合モデルには、継続的なスキルアップが必要です。レポートはまた、人材流出リスクも強調しています。組織の48%が、従業員が退職する主な理由としてトレーニングとスキルアップの機会の不足を挙げています。専門家が自分のスキルが停滞していると感じると、彼らは転職してしまい、人材不足を悪化させ、リスクを増大させます。
継続的な学習は、セキュリティと人材定着の両方に対処します。これにより、組織は次のことが可能になります。
・運用準備態勢を維持する
・新しいテクノロジーと脅威の手法に適応する
・高い潜在能力を持つ人材を維持する
・制約のある市場における外部採用への依存を減らす
人材はレジリエンスの基盤
2025年グローバルサイバーセキュリティスキルギャップレポートは、サイバーセキュリティのレジリエンスは人材から始まるという点を一貫して指摘しています。確かに、ツール、AI、アーキテクチャは重要です。しかし、意識、スキル、継続的な学習がなければ、これらの投資は不十分なものとなります。
トレーニングと認定資格をコアリスク管理策として扱う組織(後付けではなく)は、侵害を防止し、効果的に対応し、インシデント発生時により迅速に復旧できる態勢が整っています。
フォーティネットは、スキルギャップに正面から取り組んでいます。フォーティネット セキュリティ ファブリックにおける50以上の統合ソリューションと、フォーティネット トレーニング インスティテュートを通じた業界で最も幅広いトレーニングおよび認定プログラムの1つにより、フォーティネットは組織と個人の両方に力を与え、サイバーセキュリティ意識へのアクセスを拡大し、専門スキルを向上させ、グローバルなサイバー人材を強化しています。
これらのトレンドの背後にあるデータを調査し、組織が人的リスクとスキル不足にどのように対処しているかを学ぶには、2025年グローバル サイバーセキュリティ スキルギャップ レポートをダウンロードしてください。