エグゼクティブはデータ侵害にどのように対処すべきか?

本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/how-are-executives-addressing-data-breaches」の翻訳です。

大規模なデータ侵害のリスクを軽減することは、ほとんどの組織にとって経営上の最優先事項となっています。しかし、さまざまなセキュリティ対策の有効性についてのエグゼクティブの評価は大きく異なります。以下では、Economist Intelligence Unit(EIU)がProofpointに代わって実施した最近の調査結果を元に、如何にすればお客様がサイバーセキュリティソリューションに関して十分な情報に基づいた意思決定を行えるのかを考えます。

データ侵害の防止はCレベルエグゼクティブの最優先事項

EIUの調査では、圧倒的多数(82%)のエグゼクティブがデータ侵害の防止をCレベルエグゼクティブが必ず、または最優先に取り組むべき事項として挙げており、73%が、今後3年のうちに大規模侵害のリスクを減らすことがCスイートにとってさらに重要になると考えていることが明らかになりました。ほぼすべての回答者(96%)が、取締役会とCレベルエグゼクティブがサイバーセキュリティリスクをコントロールすることを強力に支持しており、93%は取締役会とCレベルエグゼクティブがサイバーセキュリティリスクについて定期的な報告を受けていると述べています。

エグゼクティブ達はデータ侵害にどのように取り組んでいるか

1. セキュリティ対策の集中化

多くの企業は、すべての従業員、すべての事業分野とビジネスラインおよびそれらを結び付けるネットワークを含んだサイバーセキュリティ文化を構築するための活動を集中化することで、セキュリティ対策を確固たるものとしています。ほとんどすべての回答者(94%)が、自らの組織がそのような対応をしていると回答しました。

2. 企業インフラをクラウドに移行する

もう1つのセキュリティ対策は、より安全なデータ環境を確保するために、企業インフラストラクチャをクラウドに移行することです。回答者のほぼ半数(46%)は、組織がデータインフラストラクチャの半分以上をクラウドに移行し、69%以上が40%以上を移行したと回答しています。ほとんどの回答者は、組織がデータ侵害に対処するためのプロセスに着手しているとも回答しています。調査では、これらを2つのグループに分けました:従業員による責任あるサイバーセキュリティ行動を保証するプロセスと、データ侵害を回避および軽減するプロセスです。

3. 従業員の保護とセキュリティ意識向上トレーニング

回答者の84%から95%は、組織が責任ある行動をとるために以下を実施または計画を作成したと答えました:

  • 採用時の審査と身元調査を行い、リスクのある個人を雇用しないようにする(89%)
  • 従業員に機密保持契約への署名を義務付ける(91%)
  • 従業員向けの情報セキュリティポリシーを作成して適用する(93%)
  • 定期的に従業員教育とセキュリティトレーニングを実施する(94%)
  • 個人的なWebブラウジングと個人メールへのアクセスを制限または禁止する(91%)
  • 特定のデータタイプへの従業員のアクセスを定義して制限する(95%)
  • 適切なオンライン行動を動機付けるインセンティブを提供する(84%)
  • 問題が起こった場合の責任の所在について明確にする(91%)
  • 異常な行動や操作についてユーザーアカウントを監視する(94%)

また、86%から96%の回答者が、組織がデータ侵害を回避および緩和するために以下を実装または計画を作成したと答えています:

  • 強力なクレデンシャルと多要素認証を義務づける(93%)
  • 不審なメールを発見して報告するようユーザーをトレーニングする(94%)
  • 従業員の個人的なWebブラウジングとメールの処理をネットワークトラフィックから分離する(92%)
  • アクセスセキュリティのためのゼロトラストネットワーク戦略を実装する(86%)
  • セキュリティプログラムをインストールする(セキュアな電子メールゲートウェイ、CASB/クラウドセキュリティツール、ファイアウォール、マルウェア対策、ウイルス対策ソフトウェア;96%)
  • システムおよびソフトウェアの更新プログラムとパッチが出たら、すぐに適用する(94%)
  • メーカーがソフトウェアをサポートしなくなったら、すぐにアップグレードする(95%)
  • データセキュリティの標準と実践に関するテストを定期的に実行する(96%)
  • 仮想プライベートネットワークの使用を義務づける(VPN; 91%)

何が一番効果的なのか

最も効果的なセキュリティ対策が何であるかについて、意見は大きく分かれますが、最も望ましいものは最も基本的なものであるという意味では、従業員に教育が行きわたり、ルールが周知されている場合には、彼らが有効なセキュリティ対策になりうるということが挙げられます。

すでにセキュリティプロセスを実装していると答えた回答者は、従業員が責任を持ってサイバーセキュリティ行動を行うためには、以下が最も効果的であると述べています:

1. 定期的な従業員教育とセキュリティトレーニングの実施(35%)および

2. 従業員向けの情報セキュリティポリシーの作成と適用(34%)。

さらに、4人に1人の回答者が、個人的なWebブラウジングと個人の電子メールへのアクセスを制限または禁止していると述べています。

この注目すべき調査の詳細を学び、Deborah Wheeler、DeltaのCISO、Adrian Ludwig、AtlassianのCISOなどのエグゼクティブ達の具体的な見解を知るためには、完全なレポート「Cyber insecurity: Managing threats from within.」をダウンロードしてお読みください。