この記事は、Ciscoの情報セキュリティ管理最高責任者Wendy Natherによるブログ「How much security do you really need?」(2019/10/22)の抄訳です。
資金があれば安心できますか?CISO はそう考えないでしょう。シスコの新しい『セキュリティの最低ライン』レポートでは、予算がどれだけあってもサイバー脅威に対して安心できない傾向を指摘しています。しかし金銭以外、つまりセキュリティの能力やプラクティスなどを整備することで防御を固めることはできます。
レポートの執筆にあたり、セキュリティ分野での予算編成と計画についてセキュリティ専門家を対象に調査しました。その結果、次のようなことが判明しました。
- 回答者の 94% は、効果的なセキュリティのためにはもっと踏み込んだ対策が必要だと認識
- 驚くべきことに 84% は、現行インフラを保護するために最低限必要なセキュリティの一部しか導入できていないと回答
セキュリティの成功要因
資金以外に大切な要因とは何でしょうか?レポートでは IT 意思決定者に二重盲検調査を実施することで、以下の点について、さまざまな規模の組織におけるセキュリティ能力を検証しています。
- 予算 –セキュリティに対していくら費やしているか?
- 人材 –最も重要な資産を包括的に保護できるよう、必要な人材やスキルを擁しているか?
- 能力 –セキュリティの強化を妨げる他の要因とは何か?(アーキテクチャ、規制など)
- 影響力 –IT およびセキュリティ分野の購入決定者は、インフラを保護するうえでベンダーやパートナーを巻き込めるか?
これらはいずれもセキュリティプログラムにとって重要な要素です。ご覧のように、資金がすべてではありません。適切な基盤がなければ資金の投入すらできないのです。
セキュリティ成熟度ピラミッド
出典: 2019 年 シスコ セキュリティについての最低要件についての調査
シスコの新しいレポートでは、セキュリティを強化するために講じるべき基本的な手順について説明しています。これらの手順は、サイバーリスクアセスメントの実施や、セキュリティ担当者向けトレーニングの強化など、予算を問わず当てはまる内容です。
環境をプロアクティブに防御するために欠かせないリソースと戦略が導入されていますか?ぜひ『セキュリティの最低ライン』レポートをダウンロードし、業界と比べた自社の現状やセキュリティの強化方法についてご覧ください。
Authors
コメントを書く