ジュニパーネットワークスは、米ランド研究所と協力し、サイバーセキュリティ脅威に対する防御において企業が直面している経済的な要因などを分析し、調査報告書 「The Defender’s Dilemma: Charting a Course Toward Cybersecurity」として発表した。
この調査は、グローバルの1億米ドル規模の企業に所属する情報セキュリティ担当最高責任者(CISO)18名にインタビューしたほか、 現在の脅威環境と、防御する企業が利用できるツールに関する広範な調査と分析、第三者のセキュリティ業界専門家による相互評価 、企業ネットワーク・セキュリティを確保するための方法と費用をヒューリスティックモデルによりマッピングしまとめたもの。
それにによると、多くの企業がサイバー・セキュリティ・ツールへの投資を増やしているにもかかわらず、これらの投資がインフラを安全にしているかについて確信を持っていないことがわかったという。
その原因として、ジュニパーネットワークスは、セキュリティ・ツールとリソースにかかる費用と、セキュリティ侵害の発生に伴う潜在的な費用(本質的には不確実で予測不可能)を考慮した計算をしっかりしていないことが原因だと指摘。
ランド研究所は、このニーズに応えるため今回調査において企業・組織のサイバー・リスク関連費用に影響を与える主な要因や意思決定を初めてマッピングし、ヒューリスティックな経済モデルを開発した。
ランド研究所のモデルでは、企業によるサイバー・セキュリティ・リスク管理費用が10年後に38%増加すると予測。
|
ランド研究所のモデルにおける一般的な損失額と投資額 |
ランド研究所のモデルに基づき、ジュニパーネットワークスは、セキュリティ態勢の強化において企業が検討すべき重要点として、以下の5つを挙げている。
多くのセキュリティ・ツールはすぐに効力を失ってしまう
ハッカーは、サンドボックスやアンチウイルス技術などの新たな検出システムを攻略する技術を開発し続けていため、ランド研究所のモデルでは、これらの防御技術の有効性が今後10年間で65%低下すると予測。ジュニパーネットワークスはこれに対して、企業は投資する新たなツールの慎重な評価、攻撃されにく い技術の選択、セキュリティ管理の強化に加え、企業ネットワーク全体でのオートメーションやポリシー・エンフォースメントを進める必要があるとしている。
IoT は岐路に立っている
ランド研究所によると、IoTはセキュリティ費用全般に影響を及ぼすが、それがプラス、マイナスどちらかに影響するのかは不明確で、IoTに適切なセキュリティ 技術を採用し、適切に管理した場合、企業にとっては長期的なコスト削減につながると指摘。一方、効果的なセキュリティ管理ができていない企業がIoTを導入すると、今後10年間にサイバー攻撃によって被る被害が30%増加するという。
人材に投資することが長期的な費用削減につながる
ランド研究所のモデルによると、セキュリティに対し熱心に取り組む企業とそうでない企業のセキュリティ・リスクにかかる管理費用を比較すると、1年目に19%、10年目に28%削減することができる。そのため、セキュリティ管理とプロセスの自動化をサポートする技術、従業員への高度なセキュリティ研修、セキュリティ担当者の増員など、人材を重視したセキュリティへの投資は企業に大きなメリッ トをもたらすという。
万能の解決策はない
ランド研究所の調査によると、 特に中小企業は基本的なツールやポリシーによるメリットを最も享受する一方、大手企業や高 価値のターゲットは高度な攻撃の対象になりやすいため総合的なポリシーとツールに投資する必要があるという。
ソフトウェア脆弱性の排除により大幅な費用削減が可能
ランド研究所のモデルは、セキュリティ費用を増大させる最大の課題として、ソフトウェアやアプ リケーションの脆弱性を挙げており、ソフトウェア脆弱性の発生頻度を半減させることができれば、企業はサイバー・セキュリティ・コストを25%削減することができるという。
なお、ジュニパーネットワークスはランド研究所の経済性モデルをインタラ クティブに解釈するツールを発表した。この新たなツールは、特に時間とリソースを注いで管理すべき主要な分野においてモデルが推奨する一般的な指針を示し、企業による潜在的な費用の削減を可能にするという。
