Tenable Network Securityは、ポネモン研究所と共同で行った独自調査の結果(「業務遂行上のサイバーリスク計測と管理に関する報告書」)を発表した。本報告書の主な内容は以下のとおりだ。

  • 世界中の組織の60%がサイバー被害による業務混乱を2回以上経験
  • サイバー被害が広がっているにも関わらず、54%の組織ではサイバーリスクの業務コストが計測されず、把握されていない
  • 多くの組織がサイバーリスクを評価・理解するための評価指標(KPI)を活用していない
  • 判断基準に秩序がないことで、サイバーリスクが組織にもたらすコストに関し、取締役会が詳細を把握できていない

世界中の組織の60%がサイバー被害による業務混乱を2回以上経験

世界中の組織の60%が、過去24ヵ月の間にサイバー被害によって業務が混乱した経験が2回以上あることが判明した。
※サイバー被害は情報流出のほか、業務・工場・機器稼働の深刻な混乱・中断と定義

また組織の91%が、同じ時期に1回以上のサイバー被害を経験していることもわかっている。

このようにサイバー攻撃の被害が発生しているにも関わらず、54%の組織ではサイバーリスクの業務コストが計測されず、把握されていなかった。同報告書では、組織が正確に定量化された判断基準に裏付けされたリスクに基づいた行家決定ができていないことや、その結果として経営陣・取締役会が確実な判断を下すための見識が不足しているとまとめている。

デジタルトランスフォーメーションによって、クラウド・DevOps・モビリティ・IoTといった複雑なコンピューティング環境が構築された現代においては、新たな現代のアタックサーフェスの一部としてすべて繋がっているといっても過言ではないようだ。同社ではこれが今、サイバー・エクスポージャーを正確に理解するための組織能力に大きなギャップを生んでいるとしている。

6カ国2,410名のIT・情報セキュリティ事項決定者を対象として調査したところ、エクスポージャーリスクを効率的に軽減するアタックサーフェス(従来のIT、クラウド、コンテナ、IoTおよびOTを含む)の可視化が十分である組織は29%にとどまったとのこと。また58%の組織は、脆弱性を即座にスキャンするのに必要な人員が不足していると回答。極秘データのリスク評価が必要な際にスキャンを実施できている組織は35%にとどまった。同社では、これが可視化を妨げている大きな原因としている。

また上記調査の結果より、現在組織が採用するツール・アプローチ方法では、サイバーリスクの管理や計測が十分に行えていないことが判明したとのことだ。

多くの組織がサイバーリスクを評価・理解するための評価指標(KPI)を活用していない

今回の調査ではサイバーリスクの業務コストを計測する組織の62%が、計測基準の正確性に確信がないことも明らかになっている。また多くの組織が、下記のように、サイバーリスクを評価・理解するのに重要と考えられる評価指標(KPI)を活用していないことを認めている。

  • 組織の64%は、「評価時間」を重要なKPIと設定しているものの、実際に計測できているのは49%にどとまる
  • 組織の70%は、「修復時間」を重要なKPIとして設定しているものの、実際に計測できているのは46%にとどまる
  • サイバーリスクKPIについて、運用可能な段階にまで展開できていると確信している組織は30%にとどまる。

同社は、判断基準に秩序がないことで、サイバーリスクが組織にもたらすコストに関し、取締役会が詳細を把握できていない状態に陥っていると結論付けている。またセキュリティの責任者が正確にリスクを計測できているか確信が持てていないため、サイバーリスクの業務コストについての重要な情報を取締役会と共有することに消極的になっていると語っている。

「過去24ヵ月間にサイバー被害による業務混乱を2度以上きたした組織が60%にのぼることが判明」