サイバーセキュリティ分野が人材不足とスキルギャップに直面していることは周知の事実です。しかし、調査会社ガートナーの予測が現実のものとなった場合、2025年までにセキュリティリーダーの4分の1が仕事のプレッシャーからサイバーセキュリティ分野から完全に離れることになるとしても、残念ながら状況の改善はすぐには訪れないかもしれません。
同社は新たなレポートで、サイバーセキュリティリーダーのほぼ半数が転職し、2025年までには人材不足や人的ミスが重大なサイバーインシデントの半数以上を占めるようになると予測している。
ジャンプ先:
- サイバースタッフに「なぜそんなに深刻なのですか?」と聞かないでください。
- サイバーセキュリティチームは、迅速に行動して物事を破壊する企業を過小評価している
- 不満や人材の流出により内部リスクが増加
- 内部脅威の分類とその対処方法
- 人間:原因と標的
サイバースタッフに「なぜそんなに深刻なのですか?」と聞かないでください。
ガートナー社のディレクターアナリスト、ディープティ・ゴパル氏は、サイバーセキュリティのリーダーたちは、組織のセキュリティを維持、向上させるために、技術ニーズ、ビジネスニーズ、環境ニーズのバランスを取るために懸命に努力していると語った。
「彼らは目標達成を急いでいる一方で、手が回らない状態です」とゴパル氏は述べた。「今日の世界を詳しく見てみると、ハイブリッドな労働環境がすべてです。これはサイバーセキュリティのリーダーにも影響を与え、業務と戦略策定の複雑さを増しています。」
彼女はさらに、IT が採用している「ワーク ライフ ハーモナイゼーション」とは、特に職場と家庭が同じ場所にあることから、仕事と仕事以外の間の隔壁を溶かすことであると付け加えた。
「サイバーセキュリティのリーダーたちの話を聞くと、『私の一日は仕事、メール、アラート、そしてコーヒーで始まる』とか、『いつでも対応可能なオールスターのチームと働いている』といった話が聞こえてきます」とゴパル氏は述べた。「彼らは仕事量について不満を漏らしません。これらはすべて、高いストレスと高い要求の存在を示す要素です。」
「しかし、仕事関連のストレスをコントロールできなくなったり、コントロールできないという感覚を抱くことができなくなったりするのです。つまり、最も重要なことに時間を割くことができないのです。私はリーダーたちに、来週絶対にやらなければならないことをメモしてもらい、カレンダーを確認するようにお願いしています。すると、ほとんどの場合、リストにあるタスクに時間を割けていないという声が聞こえてきます。」
迅速に行動し、物事を破壊する企業では、サイバーセキュリティチームは過小評価されている
ガートナーの調査によると、コンプライアンス中心のサイバーセキュリティプログラム、経営陣の低いサポート、業界レベルのセキュリティ水準の低さは、いずれもセキュリティリスク管理をビジネスの成功の鍵と捉えていない組織の指標です。ゴパル氏は、このような組織では、サイバーセキュリティ人材がより高く評価され、その影響力が実感され、評価される企業へと流出していく可能性が高いと述べています。
「組織が迅速な対応を求められると、セキュリティが最優先事項とならない状況が生まれます。これは変えなければなりません」とゴパル氏は述べた。「サイバーセキュリティをデジタル設計の本質として捉える必要があります。」
参照:2023年のテクノロジーリーダーのためのサイバーセキュリティに関する10の予測(TechRepublic)
不満や人材流出で内部リスクが増加
ガートナー社の副社長アナリスト、ポール・ファータド氏は、サイバーセキュリティやIT関連、その他の分野の人材の流出は内部不正の恐れを増大させ、セキュリティ上の大きな問題となる可能性があると述べた。
「サイバーセキュリティの労働力は社会の縮図であり、様々なストレス要因に対してそれぞれ異なる反応を示す個人で構成されています」とフルタド氏は述べた。「中には、何の支障もなく円満に退職する人もいるでしょう。」
「自分が作成または貢献した成果物は個人的な知的財産であると考え、コピーを取得する人もいるかもしれません。また、別の雇用主での次の職務に役立つ可能性のあるデータを盗み出したいと考える人もいるかもしれません。」
さらに、おそらく可能性はより低いが、組織内のどこにいても、個人が窃盗にとどまらず、システムやデータに対する破壊行為や混乱を引き起こす可能性もある。
「現実には、セキュリティリーダーはこうした事態に備えなければなりません。こうした行為が実際に発生した例は数多くあります」とフルタド氏は述べた。「恐ろしいのは、社内の人間がレイオフや辞職を待たずにこうした行為を始めるケースもあるということです。
「内部リスクを管理するための準備は、それが実際の内部脅威イベントに発展するのを防ぐために非常に重要です。」
ガートナーは、2025 年までに中規模から大規模企業の半数が内部リスクに対処するためのプログラムを導入すると予測しています (現在の 10% から増加)。
内部脅威の分類とその対処方法
フルタド氏によると、内部脅威活動は通常、次のようなものを中心に展開される。
- フィッシング。
- 詐称。
- 金銭窃盗および経費詐欺などのその他の横領。
- 不正なデータの持ち出しまたは閲覧。
- マルウェア、ランサムウェア、アカウントロックアウト、データ削除を伴うシステム破壊。
3種類の脅威アクター
彼は3種類の俳優を特定しています。
- 不注意なユーザー: エラーや不適切な構成など、機密データや独自のデータを誤って公開します。
- 悪意のあるユーザー: 個人的な理由または金銭的利益のために、意図的な妨害行為またはデータ盗難を行う。
- 侵害された資格情報: データの盗難や破壊行為を目的として組織外の誰かが悪用した資格情報。
内部脅威攻撃シーケンス
フルタド氏によると、内部者による攻撃の分類では、多くの意図的で計画的な攻撃が次のような順序で行われていたことが示されています。
- 俳優は本物の間違いを犯し、それを元に戻します。
- 結果が発生しない場合は、アクターはそのエラーを自由に繰り返すことができるかどうかをテストします。
- 仕事上のストレス、個人的なストレス、性格上の欠陥が組み合わさって、行為者が有害な行為を当然の権利として正当化したり、より高い目的のために行ったりできるようになったときに、危機的な状況に達します。
内部脅威への対策
このリスクに対抗するために、Furtado は組織に対して次のことをアドバイスしています。
- 3つのルール:限られたセキュリティリソースを効果的に活用しながらリスクを軽減するために、「3つのルール」を実践する。フルタド氏によると、これは、まず個人の行動を抑止し、活動を検知し、その活動を阻止することを含む。
- セキュリティ文化: 組織の主要領域 (特に HR と法務) に合わせた正式なインサイダー リスク プログラムを開発することで、企業全体のセキュリティ文化を確立します。
- 社会およびリスクガバナンス: 行動テクノロジー、リスク測定、健全なガバナンス慣行を実装することで、インサイダーリスクを軽減します (図 A)。
図A
人間:原因と標的
ガートナーは、2025年までに、ソーシャルエンジニアリング攻撃の急増とデータ衛生の欠如により、重大なサイバーインシデントの半数以上が人材不足または人的ミスに起因すると予測しています。しかしながら、同社のデータは、従業員のリスク認識が、明確かつ現実的なサイバーセキュリティ上の危険を反映していない可能性も示唆しています。そうでなければ、トップダウンのガイダンスはほとんど効果がない可能性があります。
ガートナーが昨年の春、約 1,300 人の従業員を対象に調査を実施したところ、回答者の 69% が過去 12 か月間に組織のサイバーセキュリティ ガイダンスを無視したことがあると回答し、74% が自分やチームのビジネス目標達成に役立つのであればサイバーセキュリティ ガイダンスを無視してもよいと回答しました。
