インテル セキュリティ調査 サイバー攻撃者と組織のセキュリティ担当者が得る報酬の不均衡が判明
経営陣の過信が攻撃側に好都合な状況をつくりだす結果に

~ インテル セキュリティ、戦略国際問題研究所(CSIS)調査:サイバーセキュリティ戦略を
遂行していると考える経営側に対し、同意するIT担当者は回答者のわずか半数 ~

2017年3月2日

※当資料は、2017年3月1日に米国で発表されたプレスリリースの抄訳版です。

ニュース・ハイライト

米国インテル セキュリティ(所在地:カリフォルニア州サンタクララ、日本での事業会社:マカフィー株式会社、所在地:東京都渋谷区、代表取締役社長:山野 修)は、現地時間3月1日、米国のシンクタンクである戦略国際問題研究所(CSIS)との共同でグローバル レポート「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」(偏った現場:報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る)を発表しました。このレポートでは、攻撃者と企業のセキュリティ担当者の間の報酬の不均衡が顕著な3つの領域(不自由な企業構造と流動的な犯罪構造、戦略と実行の違い、上級管理者と現場作業者の意識の違い)が明らかになっています。このレポートでは、こうした報酬の不均衡を是正するためにサイバー犯罪者から学ぶべき点についても紹介しています。

このレポートは、金融、医療、公共など5つの主要業種に従事する800人のサイバーセキュリティ担当者を対象に行われたインタビューとアンケート調査に基づいて作成されています。そして、流動的かつ活況を呈する市場で大規模ビジネスを生み出しているサイバー犯罪を通じて、攻撃者が報酬を獲得し、そのことがサイバー犯罪者の優位性を高めていることについて紹介しています。一方の防御側は、官僚的な枠組みの中でサイバーセキュリティを運用していることが多いため、サイバー犯罪の日々の進化についていくことができなくなっている現状が明らかになっています。

防御側の組織内では、その他にもアンバランスな状況が発生しています。一例として、90%以上の組織がサイバーセキュリティ戦略を構築していると回答する一方で、その戦略を遂行できている組織は半数以下にとどまります。さらに、83%の回答者が、所属する組織がセキュリティ侵害の影響を受けたことがあると回答するなど、戦略と実行の間にアンバランスが発生していることがわかります。

サイバー犯罪者には金銭など直接的な報酬がありますが、調査では、サイバーセキュリティ担当者には十分な報酬がないだけでなく、現場の担当者の意識とは対照的に、経営側は既存の褒賞制度で効果があると過信していることが明らかになりました。それを裏付けるように、報酬が十分でないと回答したサイバーセキュリティ担当者は42%に上りますが、同じ回答をした意思決定者は18%、特にチームリーダーではわずか8%という結果が出ています。

このレポートには、他にも以下のような考察が紹介されています。

また、このレポートでは、以下のような防御側が攻撃側から学ぶべき点も紹介しています。

レポートでは、大多数の企業がサイバーセキュリティに関する問題の深刻さを認め、それに対応する意思があることを、良いニュースとして挙げています。サイバー攻撃者と戦うためには、組織にはツール以上のものが必要です。コスト優先の枠組みに囚われないサイバーセキュリティ方針へと転換し、組織構造やプロセスに革新的な方法を積極的に取り入れながら、試行錯誤を重ね、判断基準と報酬の適切なバランスを判断する必要があります。

インテル セキュリティの企業向けソリューション担当 バイス プレジデントのキャンディス・ウォーリー (Candace Worley) は、次のように述べています。 「サイバー犯罪市場ではイノベーションに対する報酬をすぐに獲得でき、また最新のツールの共有が促進される構造になっているため、成功が約束されています。政府や民間のIT担当者やサイバーセキュリティ担当者がそれに対抗するには、対抗相手である犯罪者と同じくらい迅速に行動し、また、IT担当者が十分に評価されるインセンティブを与えなければなりません」

戦略国際問題研究所のテクノロジー ポリシー プログラム担当ディレクター 兼 上級研究員のデニス・ゼン氏 (Denise Zheng) は、次のように述べています。 「戦略を考えることはそう難しいことではありませんが、それを着実に遂行することは大変です。政府や企業がそうしたアンバランスにどう対処するかが、サイバーセキュリティ プログラムの効果を決定します。問題は、『何』をすべきかではありません。『なぜ』実行されず、『どうすれば』改善できるかを考えなければならないのです」

完全版の「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」(偏った現場:報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る)(英語)は、http://www.mcafee.com/misaligned からダウンロードいただけます。

調査方法

インテル セキュリティは、英国の調査会社であるVanson Bourne社に、このレポートのベースとなる調査を委託しました。アメリカ、イギリス、フランス、ドイツ、ブラジル、日本、シンガポール、オーストラリア、メキシコを拠点とする、金融、医療、公的部門など5つの主要な産業の従業員数500~5,000人以上の企業から、800人以上の経営サイドのサイバーセキュリティ責任者、サイバーセキュリティ技術者、現場のサイバーセキュリティ担当者を対象に、アンケート調査を行いました。

■インテル セキュリティについて

McAfeeブランドの製品を提供するインテル セキュリティは、デジタル化された世界とすべての人々の生活をより安全にするために取り組んでいます。インテル セキュリティは、インテルの事業部門です。詳細はhttp://www.mcafee.com/jp/ をご覧ください。

Intel、インテル、インテルロゴ、McAfee、マカフィー、マカフィーロゴは、米国およびその他の国におけるインテル コーポレーションの商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。
(C) 2017 Intel Corporation.