米国のコンピューターネットワーク会社であるCiscoは新しい報告書を発表し、企業や組織は過去1年間に複数のサイバー攻撃の被害に遭っているにも関わらず、依然として対策が不十分であることを指摘しています。
サイバー攻撃が成功するかどうかは、企業や組織のサイバーセキュリティの成熟度に左右されます。ソリューションをとにかくたくさん導入すれば良いというわけではなく、自分たちにとってのサイバーリスクを特定し、それに対処するための適切なソリューション、ポリシー、プラクティス、計画を導入しなければ、インシデント発生の抑制や適切な対処を行うことができないということです。
2024年度シスコサイバーセキュリティ成熟度指標によると、多くの企業や組織は、油断していたことでサイバー攻撃の被害に遭っていることが明らかになっています。
このブログでは調査結果の要点を取り上げます。
- 54%の企業や組織は過去1年間にサイバーセキュリティインシデントを経験している。
- 過去1年間にサイバーセキュリティインシデントを経験した企業や組織のうち73%は、今後1〜2年以内に再度サイバーセキュリティインシデントを経験する可能性が高い。
この調査結果から企業や組織は現状を理解し対策を強化しなければならないと考えられますが、現状は異なるとCiscoは指摘しています。80%の企業や組織はサイバー攻撃に対するレジリエンス能力に「非常に自信がある、または、自信がある」と答えており、全てをコントロールできていると考えているようです。
Ciscoの調査結果では、さらに以下のことが指摘されています。
- 46%の企業や組織は10人以上のサイバーセキュリティのポジションが空いたままになっている。
- 80%の企業や組織はポイントソリューションをいくつも使用しているため、インシデントの検出、対応、および復旧能力が低下していることを認めている。
シスコサイバーセキュリティ成熟度モデルによる評価では、以下の通り多くの企業や組織のサイバーセキュリティの取り組みは熟れていないようです。
出典:Cisco
サイバーセキュリティ対策の成熟度が高いと判断される企業はわずか3%に過ぎず、71%の企業はサイバーセキュリティ対策を始めたばかりか、ある程度導入してはいるものの、あらゆる分野で成熟度が平均を下回っている状況です。
したがって、企業や組織のサイバーセキュリティ対策が依然として不十分であることがわかります。
この報告書で気になったのは、シスコサイバーセキュリティ成熟度がアイデンティティ、エンドポイント、ネットワーク、クラウド、AIに焦点を当てていることです。54%の企業や組織がサイバー攻撃の被害に遭っているにも関わらず、この報告書ではサイバーセキュリティ成熟度の要因として、「ユーザー」について言及されていません。
企業や組織が、真の意味でサイバー攻撃への体制を整えるためには、ユーザー自身もセキュリティシステムをすり抜けた攻撃を確実に阻止できるように、セキュリティ意識向上トレーニングを継続的に受講する必要があります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年4月16日発信 https://blog.knowbe4.com/cisco-calls-out-organizations-as-overconfident-and-unprepared-for-cyberattacks