アクセンチュア株式会社が日本を含む有力企業のCEOを対象に行った調査を基に、「The Cyber-Resilient CEO（サイバーレジリエントCEO）」を発表した。このレポートによると、多くのCEOが自社のセキュリティに懸念を抱いていることが浮き彫りになっている。

同レポートでは、96％のCEOが「サイバーセキュリティは組織の成長と安定に不可欠」と答えている。しかし、サイバー攻撃による損害を回避または最小限に抑える十分な能力を自社が有しているか、という質問に「懸念あり」と答えた割合は74％にも及ぶ。また、54％のCEOはサイバー攻撃を受けた際の損害よりも対策コストの方が大きいと考えていることも判明した。

しかし実際には、世界的な海運・物流企業で情報漏えいが発生した際、売り上げは20％減少、損失額は3億米ドルにも上ったケースが報告されているように、インシデントが起こると損害がセキュリティコストを上回る場合もある。

今後は生成AIにより、今まで以上にサイバー攻撃が巧妙化するとみられている。企業はセキュリティギャップを解消し、サイバーレジリエンスを高める必要がある。

システムがサイバー攻撃を受けた際、それを予測、検知し回復するために必要な適応能力のことをサイバーレジリエンスという。

前述のアクセンチュア株式会社のレポートでは、サイバーレジリエンスに優れたCEOを特定し、そのCEOたちが実践している内容を5点に絞って紹介している。

サイバーレジリエンスと言ってもサイバーセキュリティ対策の方法が特別なものに変わるわけではなく、これからのビジネス展開において常にセキュリティ対策も併せて考える必要があるということだろう。どんな業種であっても、IT機器やネットワーク接続なしにビジネスを進めることは不可能だからだ。

情報技術の調査会社であるアメリカのPonemon Institute社は、セキュリティギャップの解消のキーポイントとして以下のようなものを挙げている。

ゼロトラスト

何も信用しない前提でのセキュリティ対策のことである。従来はマルウェアが外部から組織内ネットワークに侵入することを防ぐ「境界防御」が主流だったが、テレワークを行う家庭の通信環境やSaaSをはじめ、クラウドサービス、モバイルPCなど関係する全ての機器、ネットワークを保護する必要がある。

「ゼロトラスト」についての詳細はこちら

SASE（Secure Access Service Edge）

2019年にITマーケティングリサーチ大手のガートナー社が提唱したセキュリティモデル。VPNやリモートアクセス、SD-WANなどのネットワークをはじめ、ファイアウォールやIDS（不正侵入検知システム）/IPS（不正侵入防止システム）、アンチウイルスソフトなどを統合したUTM（統合脅威管理）をクラウド上で展開する考え方である。

「SASE」についての詳細はこちら

NAC（Network Access Control）

管理者が定めたセキュリティ基準に適合する端末のみ、ネットワークへの接続を許可する方法。各端末やユーザーを認証し、セキュリティポリシーに適合しているか、またアクセス経路はどうかなどを複合的に判断し、それぞれに適切なアクセス権限を付与する。BYOD（Bring Your Own Device=従業員が私物のPCやスマホを業務上で使用すること）向けNAC、ゲストユーザー向けNAC、IoT向けNACなどがある。

自社のセキュリティが不十分と認識しているお客様がいれば、共に脆弱性を洗い出してセキュリティギャップを埋めるソリューションを紹介することになる。その場合は、スムーズに提案を進められるだろう。

しかし、先に述べたように、中にはセキュリティ対策の費用対効果を感じられず、その予算を削るような場合もあり得る。実際にインシデントが発生しないと分からないところがあるからだ。そういうお客様に対してはセキュリティ対策の重要性を丁寧に説明していきたい。