今年の初め、Axisは、世界的な調査会社であるThoughtLab社が実施した、世界最大規模のサイバーセキュリティ・ベンチマーク調査「Cybersecurity Solutions for a Riskier World」に参加しました。この調査では、14の異なるセクターと16か国にまたがる1,200社の大規模組織のサイバーセキュリティ戦略とその結果が分析され、リスクの増大と、環境の変化に対してほとんど準備ができていないという経営陣の認識が浮き彫りになりました。今回は、この調査データをもとに、監視およびセキュリティ分野における重要な習得事項をピックアップしてみたいと思います。
近年のサイバーセキュリティリスクにおける最も大きな変化の1つは、何十億ものデバイスが互いに、そして企業ネットワークに接続されるようになった、いわゆるモノのインターネット (IoT) の登場と成長です。これにより、組織の潜在的な攻撃対象が大幅に増加しました。事実上、ネットワークに接続されたあらゆるデバイスは、サイバー犯罪者の攻撃や侵入の対象となる可能性があります。
これは、この調査で強調された要因であり、回答者の25% が「デジタル/物理システムの融合により、サイバーセキュリティのリスクが大幅に増加した」という記述に同意しています。そして、そのリスクはますます高まっています。IoTを含む新しいテクノロジーの台頭を、現在の最大のサイバーセキュリティリスクと見る人は27% であった一方、2年後には最大のリスクとなると考える人の割合は37% に上っています。
さらに重要な点として、回答者の44% が、自分の組織が「パートナーやサプライヤーの利用を拡大することで、重大なサイバーセキュリティリスクにさらされる」ということに同意しているということです。この問題は、一部のベンダーが、顧客に開示せず、サードパーティ製のハードウェアコンポーネントやソフトウェアを使用することによって発生する可能性があります。検証済みのエンドツーエンドのセキュリティソリューションを調達する、あるいは透明性が高く、ソフトウェア部品構成表 (SBOM) を提供できるベンダーから調達することが重要です。
全体として、4人に1人以上 (27%) が、急速に変化する脅威の状況に対して、自分の組織は十分な準備ができていないと感じています。
OT対ITに焦点を当てることの重要性
主に組織のデータを管理するための技術である情報技術 (IT) と、産業機器、資産、プロセス、イベントを管理・監視するための技術である運用技術 (OT) の両方のリスクを考慮する必要性がこれまで以上に高まっています。しかし、ThoughtLab社の調査データでは、人員配置レベルにおけるギャップの懸念が浮き彫りになっています。調査対象企業のサイバーセキュリティ担当者のうち、OTに注力しているのはわずか40% でした。
OTに注力しているサイバーセキュリティ担当者とITに注力している担当者の比率が、40対60であること自体は、さほど驚くべきことではないように思われます。しかし、セキュリティ侵害の理由のいくつかに照らし合わせると、この比重がもっと均等になるべき理由は明らかです。
本調査では、サイバー攻撃の根本原因として、ヒューマンエラー (50%)、不明な資産 (44%)、設定ミス (44%)、メンテナンス不良 (43%)、パッチ適用 (31%) を挙げており、これらの多くは今後増加すると見られています。これらはすべてOTの問題とみなすことができます。一方で、最初のIT関連分野であるネットワークアーキテクチャを攻撃の根本原因として取り上げたのは、回答者の26% にすぎませんでした。ほとんどの組織の攻撃可能領域には、IT資産よりもOT資産の方が多いことを考えると、サイバーセキュリティに注力するOTスタッフは、ITスタッフよりも少ないのではなく、多くいるべきだと決定づけることができます。
優先投資分野の効果は?
本調査では、顧客がサイバーセキュリティへの投資を優先している分野を詳細に調べるとともに、それらが効果的であると考えられている分野について、いくつか驚くべき事実を明らかにしました。
上記のOTとITに関連する点を取り上げてみましょう。回答者のほぼ3人に1人 (30%) が、「保護すべきIT資産とOT資産、および修復すべき脆弱性を優先する」ことにすでに投資していると回答し、33% が今後2年間で最大の投資分野となると答えています。しかし、これを最も効果的な対策として挙げたのは、わずか9% でした。
一方、「ゼロトラスト原則の適用」は、ほぼ同数の回答者がすでに投資している分野 (29%) ですが、サイバーセキュリティの向上において2倍の影響力があると見られており、18% が最も効果的な投資分野と見なしています。
この分野には、システムインテグレーターにチャンスがあるように思われます。最も効果的な対策として「サードパーティのリスク管理プログラムの開発と実装」を挙げた回答者は18% であったのに対し、これにすでに投資している回答者は23% にとどまりました。
サイバーセキュリティのフレームワークについて
この調査では、回答者に、サイバーセキュリティ戦略のベンチマークにどの業界のフレームワークを使用したかについて質問しています。半数近く (48%) の回答者がISO 27001と27002を使用していると回答し、Center for Internet Security (CIS) コントロールのスコアが高く (45%)、NIST CSFとNIST 800-53コントロールも僅差 (それぞれ32% と40%) で続いています。NIST CSFは新しいリスクマネジメントフレームワークですが、この結果で興味深いのは、世界のエンタープライズ企業による新しいフレームワークの採用がISO 27001とさほど変わらないということです。
コネクテッドデバイスのサイバーセキュリティの課題への取り組み
接続された物理的なセキュリティ デバイスの数の増加が、それに関連するサイバーセキュリティ リスクの増大を引き起こしているということは、ThoughtLab の調査から明らかです。セキュリティ侵害には、風評被害、システムのダウンタイムによる事業の中断と停止、直接的な金銭的損失、潜在的な罰金などの悪影響をもたらすにもかかわらず、この分野にはまだ十分な注意が払われていないように思われます。
Axisは、コネクテッド監視カメラと関連技術のサプライヤーとして、サイバーセキュリティにおける自らの役割を真剣に受け止めています。AxisデバイスID、Edge Vault、署名付きファームウェア、セキュアブートなど、内蔵サイバーセキュリティ機能の革新は、ネットワーク上のAxisデバイスの完全性を保護するのに役立ちます。
また、パートナーやお客様と緊密に連携し、バリューチェーンと製品ライフサイクルを通じて、サイバーセキュリティのベストプラクティスが確実に展開されるよう支援しています。AXIS Device ManagerとAXIS Device Manager Extendは、Axis製品のサイバーセキュリティの衛生状態を管理・維持するための理想的なツールです。
これまでと同様、サイバーセキュリティは目的地ではなく、旅路であり続けます。