過度に複雑な組織では、他者の行動を把握していないことが多く、サイバーセキュリティやプライバシーへ深刻な影響を与える可能性があります。今回の調査では、CISOを含む経営層の75%が、自社の組織は過度に複雑である、現状のように複雑にする必要がないと述べています。また、ほぼ同数が、複雑さにより11の主要分野で「懸念すべき」サイバーリスクとプライバシーリスクが生じていると述べています。
特に大企業(売上高10億ドル以上)では、データが最大の懸念事項となっているようです。データガバナンス(77%)とデータインフラ(77%)は、「不必要かつ回避可能な」複雑さを持つ分野として上位にランクインしています。
また、テクノロジーネットワークやデバイスも、特に大企業や北米の企業では非常に複雑です。デジタルネイティブな企業(完全にオンラインで存在する企業)は互いに連携して操作できるように設計された最新のテクノロジーを使用している傾向にあります。他の多くの企業のテクノロジーアーキテクチャはレガシーシステムを含み、より複雑です。他の企業との合併は、既に複雑なネットワークやシステムを接続することにより、リスクを増大させる懸念があります。
このような複雑さを最も懸念しているのはCEOたちです。彼らは組織内の11の分野のうち、7つの分野で複雑さのレベルを10と評価しています。CEOは、クラウド環境の複雑さ、技術投資のガバナンス、ITからOTへのクロスオーバーに起因するサイバーリスクやプライバシーリスクをより強く懸念する傾向にあります。
大企業や北米の経営層は、クラウド環境の複雑さやITからOTへのクロスオーバーに起因するリスクを懸念する傾向がさらに顕著です。
組織の複雑さ自体は悪いものではありません。多くの場合、それはビジネスの成長に伴う副産物です。組織が大きくなればなるほど自然と複雑さは増し、拡大する顧客基盤に対応するため、より多くの人材とテクノロジーが必要になります。
また、不必要な複雑さが生み出すコストは明白なものではないため、実際に攻撃が発生しない間は危機感を持ち、複雑さに対処することは困難です。
ある企業では、取引を終了した顧客の機密データを必要以上の期間保管していたため、ハッカーによりデータを盗まれたという事例があります。
PwCの「Simplifying cyber」では、スリム化することでセキュリティを向上させる方法の例を紹介しています。あるグローバルの小売企業では、6社のベンダーが顧客の連絡先を管理していましたが、そのうち2つのシステムが、過去にサイバー攻撃を受けていました。そのため、新任の業務責任者はCEOや取締役会と協議を行った後、ベンダーを2社にまで絞り込みました。このスリム化によりベンダーの監視や情報へのアクセス制御、顧客データのバックアップが容易になり、セキュリティが向上しました。
業務運用の複雑さがもたらす最大の影響として回答者は以下のような項目を挙げています。
経営層は、複雑さは現在の財産を脅かすだけではなく、企業が新たな機会を迅速に創出や、将来の機会の追求の妨げにもなると考えています。
企業は複雑さがもたらすリスクを認識しているにも関わらず、業務の合理化を行っていると回答した割合はわずか35%にとどまり、25%は何もしていないか、着手したばかりと回答しました。しかし、変化は起きているようです。
組織のスリム化には時間がかかり、そのためには企業の視点や文化を変える必要があります。その実現は容易ではないものの、実現できれば大きなメリットがあります。過去2年間にサイバーセキュリティの成果が最も高かった(最も改善された)企業は、全社的に業務を合理化している割合がそうではない企業に比べ5倍高くなっています。これらの企業は、テクノロジーベンダーの統合(62%)、社内サービスとマネージドサービスの組み合わせの定義/再編成(60%)、部署と働き方の再編成(59%)、統合データガバナンスフレームワークの構築(58%)に重点を置いています。
ますます多くのCISOとCIOが、テクノロジーへの投資を慎重に検討するようになっています。テクノロジーベンダーやアプリケーションの統合により、管理が困難でリスクの高い、バラバラで脆弱なソフトウェアや技術スタックのもつれが解消されています。
サイバーセキュリティのスリム化――当然のことながら、サイバーセキュリティをスリム化することはとても困難です。特に、攻撃者が至る所から企業を狙ってくることを考えると、どこから手をつけるべきか判断することさえ困難です。回答者に、サイバープログラムとプロセスのスリム化を目的とした9つのイニシアチブの優先順位を尋ねたところ、回答者は優先順位をつけることができず、全てのイニシアチブにほぼ同等の重要性を割り当てました。徹底した防御のために複数の制御層を構築しているCISOは、善意の元に対策を行っていますが、複雑さとコストが増加しないよう配慮しなければなりません。統制の強化が、必ずしも企業に安全性の向上をもたらすとは限りません。
クラウドへの移行は、ビジネスプロセスとITアーキテクチャをスリム化し、そこに柔軟性をもたらし、イノベーションを加速するために役立ちます。しかし、企業は通常、クラウド予算のうち平均35%を非効率的に浪費しています。特に提供されるテクノロジーが絶えず変化している場合、広範なテクノロジーオプション、新しいアーキテクチャアプローチ、複雑なサービスプラン、未使用の容量、複雑な課金/価格設定により、複雑さが増大する可能性があります。
ただし、正しい方法で実施すれば、クラウドへの移行を安全かつ効率的に実施できます。6月に実施した米国での調査と同様に、本調査でもクラウドセキュリティは調査回答者にとって投資の最優先事項とされていました。このこと自体は心強いことですが、実際にこれらの投資から利益を得られたと答えたのはわずか16%に過ぎません。35%はクラウドセキュリティへの投資から十分な利益を得られておらず、45%は投資を始めたばかり、または計画中です。
企業がクラウドを用いたスリム化を行っているかどうかに関わらず、技術スタックとプロセスを最小化し、組み合わせることは大胆な措置と感じるかもしれません。しかし、それを実現するためには、難しい問いを投げかけ、「keep-it-simple(シンプルであり続ける)」という考え方を維持する必要があります。この目標を達成するには、組織のトップがセキュリティを重視したリーダーシップを発揮する必要があります。
大きな効果をもたらしうる取り組みを見逃さないでください。例えば、2要素認証を導入し、リモートデスクトッププロトコル(RDP)をファイアウォールの内側に配置するという2つの対策を行うことで、単独もしくはマルウェアやランサムウェア攻撃との組み合わせたフィッシングのリスクを大幅に減らすことができます。
サイバーセキュリティのスリム化の支出総額に占める平均割合
※本コンテンツは、Is your organisation too complex to secure?を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
