この記事は、Information Security (InfoSec)のSenior Vice President/Chief Information Security Officer である Steve Martino によるブログ「A 20/20 Vision for Cybersecurity」
(2020/2/24)の抄訳です。
CISO の立場で今年組織が進むべき方向を自己評価してみませんか?こちらの詳細分析がお役に立てば幸いです。
シスコ「2020年版 CISO ベンチマークレポート」サイバーセキュリティの現在と未来
本日、シスコの『2020 年版 CISO ベンチマークレポート』を皆様に発表できることを大変喜ばしく思います。今年はグレゴリオ暦 2020 年にちなみ、2.0 が最高値の視力検査で 2.0 を出す眼力をイメージして詳細分析レポートを作成しました。2020 年の推奨事項 20 件をはじめ、組織のセキュリティリーダーに必要な視点を得られる内容に仕上がっているものと自負します。
CISO の負担は小さくありません。CEO と同等の職責と説明責任を担い、
目まぐるしく変化する要求事項に対応する役職だからです。CISO の責任範囲に明確な限界はなく、セキュリティ運用からリスク管理、コンプライアンスの徹底など、幅広い問題に対処しなければなりません。
- セキュリティには、ここまでやれば万全という限界がありません。セキュリティは組織内のすべてに関わっています。そのため CISO は、データ漏洩が発生するたびに陣頭指揮をとり、組織の経営幹部会や取締役会の判断に加え、さまざまな部門の動向を適切にリードできなければなりません。
- そして、当然ながら CISO は、サイバーセキュリティを通じてビジネスを強化するだけでなく、ビジネスを成功に導くこともできます。強固なセキュリティ体制で販売プロセスのデューデリジェンスを確保している組織の例を、シスコはいくつも見てきました。
最も優れた成果と評価を手にしている CISO は、サイロを打破し、組織全体を効果的に保護できるよう常に心がけています。具体的に言うと、セキュリティ戦略を大局的に考え、テクノロジーチームにきめ細かく指示を下し、取締役会で経営上のメリットとデメリットを金額で示すことにより意見を述べています。
本レポートについて
シスコが毎年発行する『CISO ベンチマークレポート』の 2020 年版では、今年の方向性を定めるうえで、今日のあらゆるセキュリティリーダーに役立つ情報がまとめられています。取締役会でリーダーシップを発揮する方法、説得力を高めるメトリックの種類から、ダウンタイムの原因、複雑さへの対処法まで多彩な内容です。
本レポートを作成するにあたっては、世界各地のセキュリティリーダー 2,800 人に対し、2019 年中に経験した事実について尋ねるアンケートを実施しました。さらに現職の CISO と元 CISO から主要な CISO 業務に関する専門知識と意見を集め、結果分析に役立てました。アンケートには次のような質問が含まれています。
- セキュリティ関連の予算と支出を増やす動機は何ですか?
- 信頼性の検証と脅威の検出の間で、コスト配分はどのようになっていますか?
- 発生したダウンタイムは合計でどのくらいでしたか?
- 組織が直面した脅威の種類には、どのようなものがありましたか?
質問内容などを詳しく取り上げた概要情報を確認するには、『CISO ベンチマークレポート』を今すぐダウンロードしてください。
注目のトピック:
- セキュリティの成果目標やメトリックを明確に定めていたセキュリティリーダーの間では、サイバー疲労を覚える人の割合が低くなっています。明確なメトリックを示すと、夜ぐっすり眠れることを示唆してい
ます。 - セキュリティ侵害で悪化するビジネス領域としてブランドの評判を挙げる回答者は年々増加しています。今回の調査もそれを裏付けています。運用開始後 2 番目に大きなセキュリティ侵害の影響を受けたビジネス領域はブランドの評判でした。
- 侵害を受けた事実を自発的に公表する組織の割合は過去最高に達しています。
- セキュリティ部門とネットワーク部門、エンドポイント管理部門とセキュリティ部門のグループ間関係が「非常に協力的」か「かなり協力的」だった組織では、侵害の被害額が大幅に低くなっています。
- 脆弱性にパッチを適用しなかったためにインシデントが発生した組織の割合は、昨年の 30% から 46% に増えています。
- マルウェアと悪意のあるスパムが侵害原因の報告件数で 1 位と 2 位を占めています。ランサムウェアが引き起こしたダウンタイムによるビジネスの中断が最も長く、合計 17 時間を超えています。中小企業から大企業まで企業規模を問わず、ランサムウェアが最悪のダウンタイム原因となっています。
CISO が経営幹部会や取締役会で担う責任について、シスコの Mick Jenkins やロンドンのブルネル大学の CISO など、CISO をはじめとするセキュリティリーダーたちのインサイトも全編にちりばめられています。
「執行役員会の構造は組織ごとに異なり、リーダーシップを発揮するスタイルも異なります。CISO の役割は、組織ごとの慣習や構造にとらわれず、セキュリティ強化を呼びかけることであり、適切に設計されたセキュリティがビジネスに有益であることを実証しなければなりません」
また今年からは、組織のセキュリティ体制強化を目指して CISO の取り上げるべき主な質問も加わっています。以上の概要で本レポートに関心をお持ちいただけた場合や、別の分野に関してご質問がある場合は、ぜひ 2020security@cisco.external.com までお問い合わせください。
今すぐ『2020 年版 CISO ベンチマークレポート』をダウンロードしてご覧ください
シスコ「2020年版 CISO ベンチマークレポート」サイバーセキュリティの現在と未来 今すぐダウンロードを!
Authors