目次
セキュリティに関する一般的な課題
人材不足
情報システム部門、セキュリティ部門の方と話しをすると、一番盛り上がるのは「人材」「採用」のことです。
経済産業省のレポートによると、2030年までに最大で79万人のIT人材が不足する可能性があると記載されています。
セキュリティ人材にフォーカスするとどうでしょうか。ISC2のレポートによると、2023年のセキュリティ人材は48.1万人と、2022年から92,000人増加しているものの、日本に必要な人材は59.1万人、11万人の不足と言われています。
さらに、求人数と転職者数の差も見ていきましょう。リクルートが2024年3月15日に発表した調査結果によると、2014年と2023年の求人数は24.3倍。一方で転職者数は3.62倍に留まります。
通常の転職でも売り手市場と言われていますが、セキュリティ人材は、圧倒的に売り手市場と言っていいでしょう。
出展①:ISC2、サイバーセキュリティ人材の需給ギャップに関する調査結果を発表:
日本のサイバーセキュリティ人材が48万人強に増加した一方、未だ11万人に及ぶ記録的な人材不足に陥っていることが明らかに | ISC2, Inc.のプレスリリース (prtimes.jp)
出展②:「採れない」セキュリティー人材、求人は10年で24倍に | 日経クロステック(xTECH)
攻撃者はより高度に
昨年くらいから、生成AIが大盛り上がりです。個人的にはちょっと引いているレベルです。ITベンダーはもちろん、セキュリティベンダーもAIを活用していますが、もちろん攻撃者もAIを活用しています。活用により、スピードアップし、効率化されています。
下記はPalo Alto Networksの世界に名だたる脅威リサーチャー、インシデント レスポンダー、セキュリティ コンサルタントが集まった Unit 42のレポートからの引用です。
Speed matters. The time between initial compromise and data exfiltration is decreasing. Attackers are sometimes beginning to exfiltrate data in hours, not days. Defenders need to speed up as well.
Software vulnerabilities still matter. They were behind the largest-scale attack campaigns in 2023. They lead the list of ways attackers get in. Measure your threat surface, then fix it quickly and comprehensively.
Threat actors are becoming more sophisticated. They’re more organized, with specialized teams for dierent parts of the attack. They’re more knowledgeable and able to use IT, cloud, and security tools as weapons of oense. And they’re more ecient, using processes and playbooks to achieve their goals more quickly出展:Unit 42 Incident Response Report 2024 – Palo Alto Networks
スピードが重要。最初の侵害からデータ流出までの時間は短縮されている。攻撃者は、時には数日ではなく数時間でデータを流出させ始めている。防御側もスピードを上げる必要がある。
ソフトウェアの脆弱性は依然として重要である。2023年の最大規模の攻撃キャンペーンの背後にはソフトウェア脆弱性があった。攻撃者の侵入経路のトップはソフトウェア脆弱性である。脅威サーフェスを測定し、それを迅速かつ包括的に修正する。
脅威者は、より洗練されてきている。彼らはより組織化され、攻撃のさまざまな部分に特化したチームを持っています。彼らはより知識が豊富で、IT、クラウド、セキュリティ・ツールを武器として使うことができる。また、プロセスやプレイブックを利用して、より迅速に目標を達成するため、より効率的になっている。日本語訳
前提としては、サイバー攻撃は分業化が進んでおり、「ツールの開発」「初期侵入情報の提供者(ログイン情報などの提供)」「攻撃の実行」といったように、それぞれ専門性を持つエコシステムが確立されていることがあります。
セキュリティ対策をしなくてはいけないのはわかるが、何をすればいいのか
経済産業省のサイバーセキュリティ経営ガイドラインから引用します。
サイバーセキュリティ対策は「投資」(将来の事業活動・成長に必須な費用)と位置付けることが重要である。直接的な収益を算出することは困難ではあるが、企業の価値を維持・増大していく上で、企業活動におけるコストや損失を減らすために必要不可欠な投資であるとともに、サイバーセキュリティリスクを組織の経営リスクの一環として織り込み、その観点からサイバーセキュリティリスクを把握・評価した上で対策の実施を通じてサイバーセキュリティに関する自社が許容可能とする水準まで低減することは、企業として果たすべき社会的責任であり、その実践は経営者としての責務である。
出展:Unit 42 Incident Response Report 2024 – Palo Alto Networks
言いたいことはわかります。でも、結局何をすればいいのか、イマドキなら何をすればいいのか。トレンドを見ていきましょう。
下記は、Gartnerの2024年サイバーセキュリティのトップ・トレンドです。
- 生成AIに対する短期的な懐疑論と長期的な期待の高まり
- 取締役会でのコミュニケーション・ギャップを埋めるサイバーセキュリティ・アウトカム・ドリブン・メトリクス (成果主導型の評価指標)
- 人間によるサイバーセキュリティ・リスクの低減を目的としたセキュリティ行動/文化促進プログラムに対する注目の高まり
- レジリエンス・ドリブンかつリソース効率の高いサードパーティ・サイバーセキュリティ・リスク・マネジメント
- 継続的な脅威エクスポージャ管理 (CTEM) プログラムに対する機運の高まり
出展:Gartner、2024年のサイバーセキュリティのトップ・トレンドを発表
生成AIに始まり①、トップダウンが必要そうなことが書かれていて②、セキュリティを気にするための文化が必要で③、サプライチェーンを気にして④、ポイントポイントの診断だけではなく継続的なチェックが必要で④、やっぱり認証周りが重要⑤、と捉えられますが、経営陣としても、セキュリティを扱っている現場からみても、どうすればいいのでしょうか。
なぜ丸紅がセキュリティ?
我々に「セキュリティ」を語る資格があるのか、お話していきます。
2011年から2012年の2年間、日本・海外を含む数百社の関連会社に対し、IT整備状況の調査を行いました。この結果、セキュリティ観点、IT管理者観点で、多くの問題が顕在化しました。
セキュリティ観点
- マルウェアに感染した状態のPCが多数
- パスワード設定がポリシーに沿っていない(要するに簡単すぎる)
- 業務に関係のないソフトがインストールされている
IT管理者観点
- 完全にベンダーに任せ
- 任せているためルールに準拠していない
- IT担当者いない拠点が多い
これに対し、①ルール、②仕組み、③アセスメントという3つの柱を作り、常に改善することで、リスクコントロールしています。
取り組みとしては、地味です。地味ですが、この取り組みが我々のセキュリティに対するベースとなっています。CIS Controlsでも、ペネトレーションテストのような華々しい取り組みよりも、資産管理やパッチ適用はIG1(基本的な取り組み)となっていますので、基本的な取り組みから行うことは大切です。
なお、①ルールについては、実際に対応したメンバーが、サービス化に取り組んでおり、近日中に情報をお届けします。
現時点での弊社セキュリティ “サービス”
弊社では、みなさまのセキュリティ課題の解決をドライブするために、グローバルセキュリティエキスパート株式会社(以下、GSX)と資本業務提携をしました。これにより、これまで提供できていなかった診断、事故対応、アセスメントに関しても、GSXとともにご提供できるようになりました。
前述しているとおり、ガバナンスルールなど、これまでの実績を活かした自社サービスも準備リリースしていく予定です。
一般社員向けセキュリティ教育に価値はあるのか?
セキュリティ教育は、事故を未然に防ぐことを目的として行われます。しかし、その効果はあるのでしょうか。
個人的には、例えば標的型メール訓練といったものには懐疑的で、訓練で漏れなく開封するのが私です。でも、メール起因で事故を起こしたことはありません。
セキュリティ意識向上トレーニングを提供しているknowbe4のレポートによると、「トレーニングの頻度が高いほど、フィッシング攻撃の犠牲になる可能性の改善率も高い」という結果が出ています。
私の場合、漏れなく開封していたおかげで、フィッシング攻撃の犠牲になることを防げたとも言えます。
出展:KnowBe4 『Data Confirms Value of Security Awareness Training and Simulated Phishing』
サービスを拡充していきます
「買って済んだらラク、そんなわけにはいかないのがセキュリティ」というのは、ゼロトラストの回でもお話しました。
「セキュリティ」に関しては、診断やアセスメントでご支援できますが、現在はITとセキュリティの垣根はなくなっており、「セキュリティ」と合わせて「IT」の知見が必要です。
例えばクラウドチームなど各チームと力を合わせ、最適なサービスを提供できるよう準備中です。
さいごに
今回は、一般的な課題から弊社のセキュリティの取り組みから、「セキュリティを語る資格」があることをお話させていただきました。
セキュリティはITの前提になり、ITはビジネスの前提となっています。この中で、各企業における最適な対応は何か、ぜひ一緒に考えさせてください。
また、いくつかの数字や引用は、私が稟議を書くなら、利用する数字となっていますので、ぜひご活用ください。