米国では毎年10月が「Cybersecurity Awareness Month」と定められていて、制定から今年で20周年を迎えます。政府機関と業界の連携を通じて、アメリカ国民がインターネットを安全に利活用できるためのリソースを提供することを目的に始まったものです。日本では2月1日から3月18日が「サイバーセキュリティ月間」と定められており、ここでも政府機関や業界が一体となってサイバーセキュリティに関する様々な普及啓発活動に力を注いでいます。
サイバーセキュリティの認知向上を目的とした月間は多くの先進国で定められていて、米国だけでなく英国、オーストラリア、ドイツなど、世界的には毎年10月をサイバーセキュリティの意識向上に向けた月間として位置付けています。そこで、世界的なサイバーセキュリティに対する意識向上月間を踏まえて、セキュリティトランスフォーメーションの必要性やセキュリティ人材の未来について考えてみたいと思います。
デジタル化によって変化するサイバーセキュリティ情勢
医療機関、工場、港湾施設と、ランサムウェアを中心にしたサイバー攻撃は国内外でビジネスや社会生活に悪影響を与え続けており、機密情報をダークウェブに公開された被害組織の数は2022年1年間で2,679件に達しています。ビジネスや社会のデジタル化が進む中、国内では62%もの民間企業や公共機関がサプライチェーンに起因したセキュリティインシデントを経験しています。内部不正もまた、企業をこれまで以上に悩ませる大きな課題となっています。
セキュリティが十分ではないテレワーク環境、設定の不備がそのままになっているクラウド環境、ユーザーにとって利便性の高い様々なツールやサービスと、セキュリティインシデントは様々な原因によって起きています。セキュリティ製品やサービスから上がってくるアラートの数は膨大になり、優先すべき重要なアラートが埋もれ、結果として重大なインシデントに繋がるケースもあります。
デジタル化の加速と深刻なサイバーリスクを受けて、データプライバシーに関連した法規制もこの5年で世界各地で厳しくなり、対策とインシデント発生時の通知が共通して義務化されています。今年7月には、米国証券取引所のルール改正で、重大なインシデント発生時の4日以内の通知、経営層の関与を含めたセキュリティに関する定期的な情報開示が義務化されました。
避けては通れないセキュリティトランスフォーメーションの必要性
個別最適で数多くのセキュリティ製品やサービスの導入が積み重なることによって、インフラ内に盲点が発生するだけでなく、企業のITインフラ全体で一貫性のあるセキュリティの実現が困難になっています。セキュリティに関する有益なデータもバラバラな状態のものが大量にあることで、インシデントを早期に特定することが益々困難になっています。
デジタル技術がビジネスを牽引する時代、セキュリティインシデントがビジネスに甚大な影響を与える時代に突入した今、セキュリティトランスフォーメーションは不可欠になっています。企業のITインフラ全体で一貫性のあるセキュリティを実現する、インシデントを迅速に特定した上で、対処や復旧も速やかに実現できるアーキテクチャと運用こそが、企業の事業継続に寄与するサイバーセキュリティ実現に向けたトランスフォーメーションです。
必要なセキュリティ機能が1つに統合されたプラットフォームは、アーキテクチャをシンプルにすることで運用負荷やコストも軽減されるため、一貫性のあるセキュリティの実現に大きく寄与します。また統合されたセキュリティデータに対するAIドリブンのアナリティクスやインシデント対応の自動化は、インシデントの迅速な特定と対処を実現してくれます。サイロ化されたセキュリティ製品とセキュリティデータから、統合されたセキュリティアーキテクチャとセキュリティデータへの変革こそが、セキュリティトランスフォーメーションを実現できます。
社会全体で益々重要になるセキュリティ人材
サイバーセキュリティの領域では人材不足が長年問題となっており、世界的には343万人のセキュリティ人材が不足しているという調査結果もあります。IT部門やセキュリティ部門は、組織内で高く評価、待遇されていないケースも依然としてあります。一方で、セキュリティエンジニアの負荷は益々高くなっており、アラート処理に忙殺され、疲弊して2、3年で転職してしまうケースも問題になっています。
企業単体だけでなく社会全体でサイバーセキュリティが益々重要になる中で、組織や社会に貢献するために、1人1人のセキュリティ人材が高いモチベーションを持ってそのスキルを存分に発揮できる企業や社会に発展することが不可欠です。また、現在サイバーセキュリティに従事していなくとも、その重要性や社会貢献の可能性を認識している人材は存在するはずです。このような高い意識を持った人材への機会創出もサイバーセキュリティの未来には必要です。
サイバーセキュリティ業界で成功するには何が必要かを従業員に尋ねました
同時に、ビジネスファンクションと同等に、セキュリティ人材や組織の活動や成果が高く評価される企業や社会に発展しない限りは、高いセキュリティを確保することは困難です。セキュリティに高いモチベーションを持って取り組む人材を増やしていく、ビジネスや社会にどう貢献するかという視点でセキュリティに従事する人材を増やしていくためにも、企業や社会全体でのトランスフォーメーションが不可欠です。