海の向こうの“セキュリティ”
セキュリティ担当者にかかるプレッシャーは「パーソナル」なものに
2017年5月1日 06:00
米セキュリティ企業のTrustwaveは、企業や組織のセキュリティ担当者が感じる「プレッシャー」について調査した「2017 Security Pressures Report」を公開しました。「プレッシャー」という表現を使っていますが、正確には「プレッシャー」という観点で調査した「意識調査」と言える内容になっています。
調査対象は、米国の600の組織(企業を含む)をはじめ、カナダ、英国、オーストラリア、シンガポール、日本のそれぞれ200、計1600の組織における常勤のIT専門家でセキュリティに対して何らかの責任を持っている立場の方たちです。具体的には、CIO、ITまたはITセキュリティのディレクターやマネージャーが中心となっています。業種はさまざまで、中でもテクノロジー、製造業、サービス業が多く、従業員数の平均は4267人です。調査方法としては、2017年1月にメールを介して行われました。誤差の範囲は、米国に関しては±4%、それ以外の国に関しては±6.9%です。なお、今回で4年目となる報告書ですが、今回から調査対象に日本が加わっています。
まず、前年(2015年)と比べて2016年に感じたプレッシャーが増えたか減ったかを訊ねた結果が以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 増えた | 63% | ↓ | 53% | 60% | 53% | 53% | 55% | 37% | 51% |
| 同じ | 21% | ↑ | 30% | 24% | 32% | 35% | 33% | 27% | 42% |
| 減った | 16% | ↑ | 17% | 16% | 16% | 13% | 13% | 37% | 8% |
2016年と比べて、2017年に感じることになるであろうプレッシャーの予想を訊ねた結果が以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 増える | 65% | ↓ | 58% | 62% | 60% | 53% | 57% | 48% | 57% |
| 同じ | 24% | ↑ | 31% | 24% | 32% | 36% | 35% | 33% | 37% |
| 減る | 11% | ↑ | 12% | 14% | 8% | 12% | 8% | 20% | 7% |
プレッシャーは増加する方向にあると回答している割合が最も多いですが、それでも前年の調査と比べると、増える方向で回答している割合は減っています。また、シンガポールでは減る方向で回答しているケースが他国と比較して多い点が目を引きます。
プレッシャーを与える存在は誰かとの問いに対する回答をまとめたのが以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 経営層/オーナー | 59% | ↓ | 46% | 51% | 40% | 47% | 35% | 57% | 39% |
| 自分自身 | 11% | ↑ | 24% | 27% | 27% | 20% | 31% | 12% | 22% |
| 直属の上司 | 21% | ↓ | 19% | 15% | 20% | 20% | 21% | 22% | 21% |
| ない | 2% | ↑ | 6% | 4% | 8% | 6% | 9% | 1% | 16% |
| 同僚 | 7% | ↓ | 5% | 3% | 7% | 9% | 5% | 9% | 3% |
前年は6割近くに及んでいた「経営層/オーナー」が半分以下に減り、代わりに「自分自身」が倍以上に増えて2番目となっています。このように「自分自身」と回答している割合が多めなのは、調査対象ではシンガポール以外のすべての国で共通しています。
経営層やオーナーからのプレッシャーが減った点について報告書では、明確な理由は分からないとしながらも、セキュリティ担当者への過度なプレッシャーはストレスや燃え尽き症候群につながる可能性があり、成果をあげることはできないとの認識が経営層などに広まったからではないかとしています。また、セキュリティ人材に対する需要が非常に高い現在、優秀な人材を失うわけにはいかないという点も指摘されています。この前年からの傾向の変化について、「セキュリティ担当者へのプレッシャーはよりパーソナルなものになってきている(Pressures security professionals face have become more personal)」と表現しているメディアもあります。
最もプレッシャーを感じるときを訊ねた結果が以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 大規模なセキュリティ侵害がメディアで大きく報道された直後 | 39% | ↑ | 40% | 45% | 32% | 30% | 32% | 38% | 57% |
| 四半期末 | 11% | ↑ | 21% | 20% | 31% | 27% | 24% | 16% | 15% |
| 上司や役員とのミーティングの直前 | 17% | ↓ | 15% | 15% | 11% | 17% | 19% | 19% | 11% |
| 上司や役員とのミーティングの直後 | 23% | ↓ | 9% | 9% | 12% | 10% | 8% | 13% | 4% |
| 年度末 | 5% | ↑ | 8% | 7% | 9% | 9% | 9% | 13% | 4% |
| 休暇中 | 5% | ↑ | 7% | 5% | 7% | 8% | 9% | 3% | 10% |
前年の調査と比べ、「四半期末」が倍増し、「上司や役員とのミーティングの直後」は半分以下に減っています。また、誤差の範囲ではありますが、「休暇中」と回答した割合が最も多いのが日本というのも目を引きます。
運用において現在直面している最大のプレッシャーを訊ねた結果が以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 高度なセキュリティ脅威 | 24% | ↑ | 29% | 33% | 24% | 25% | 21% | 25% | 41% |
| スキルや専門知識の不足 | 5% | ↑ | 15% | 11% | 17% | 9% | 13% | 24% | 21% |
| 予算の不足 | 12% | ↑ | 14% | 12% | 13% | 20% | 16% | 16% | 14% |
| 新しい技術の採用(例: モバイルアプリ、クラウド、SNS、BYOD、IoT) | 25% | ↓ | 13% | 13% | 15% | 11% | 17% | 14% | 6% |
| 時間の不足 | 6% | ↑ | 9% | 8% | 10% | 13% | 14% | 4% | 7% |
| セキュリティ技術や製品の複雑さ | 11% | ↓ | 9% | 10% | 13% | 11% | 7% | 9% | 4% |
| 要員の不足 | 5% | = | 5% | 5% | 4% | 4% | 6% | 6% | 7% |
| 外部のプロバイダや請負業者がベストプラクティスに従うことの確保 | 6% | ↓ | 5% | 6% | 4% | 8% | 6% | 2% | 2% |
| 営業部門からのリクエスト | 6% | ↓ | 2% | 2% | 3% | 1% | 2% | 2% | 1% |
「高度なセキュリティ脅威(Advanced security threats)」を挙げた割合が日本と米国で特に多いことが分かります。また、「スキルや専門知識の不足(Lack of security skills/expertise)」を挙げた割合がシンガポールと日本で高いのも特徴的です。
セキュリティ面での準備ができていないと懸念しているITプロジェクトをロールアウトするようにプレッシャーをかけられたことがあるかとの質問に対する回答をまとめたのが以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 1、2回ある | 60% | ↓ | 50% | 56% | 41% | 44% | 47% | 56% | 43% |
| ない | 23% | ↑ | 35% | 29% | 43% | 41% | 41% | 26% | 43% |
| しばしばある | 17% | ↓ | 15% | 15% | 16% | 16% | 13% | 18% | 14% |
スピードよりもセキュリティを優先しているのは全体で35%にとどまっていますが、それでも前年の調査よりは改善が見られています。一方、米国とシンガポールではスピードを優先する傾向が見られています。
ITセキュリティチームへのプレッシャーを減らし、効率的に業務を遂行するために必要なチーム規模について訊ねた質問への回答をまとめたのが以下の表です。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 現在の2倍 | 52% | ↓ | 44% | 45% | 45% | 45% | 36% | 50% | 46% |
| 現在の4倍 | 29% | ↓ | 26% | 29% | 28% | 24% | 28% | 23% | 20% |
| 現在で丁度良い | 13% | ↑ | 24% | 20% | 25% | 26% | 33% | 21% | 26% |
| 現在の4倍より上 | 6% | = | 6% | 6% | 4% | 6% | 5% | 7% | 9% |
現在の規模でちょうど良いとの回答が前年と比べてほぼ倍増し、全体の約4分の1を占めています。また、オーストラリアを除いてほぼ同じ傾向が見られています。
自らが直面するプレッシャーを軽減してくれる2017年の「ほしい物リスト」のトップ項目は何かとの質問に対しては以下のような回答が得られています。
| 2016年の調査 | 前年比 | 2017年の調査 | 米国 | 英国 | カナダ | オーストラリア | シンガポール | 日本 | |
| 予算の増額 | 33% | ↓ | 30% | 23% | 34% | 43% | 31% | 36% | 29% |
| スキルの向上 | 20% | ↑ | 24% | 26% | 25% | 21% | 21% | 22% | 30% |
| 複雑なセキュリティ技術や製品の削減 | 15% | ↓ | 14% | 14% | 16% | 12% | 17% | 13% | 15% |
| セキュリティベンダとの契約 | 8% | ↑ | 11% | 13% | 8% | 11% | 10% | 13% | 7% |
| 営業部門からのリクエストの減少 | 7% | ↑ | 9% | 12% | 5% | 6% | 10% | 5% | 8% |
| セキュリティに集中できる時間の増加 | 14% | ↓ | 9% | 11% | 11% | 8% | 8% | 10% | 7% |
| 要員の増強 | 3% | = | 3% | 2% | 3% | 1% | 6% | 2% | 5% |
どの国でも「予算の増額」と「スキルの向上」が上位2項目を占めています。
Trustwaveはセキュリティベンダーですので、この報告書では「you are not alone」として「セキュリティ担当者のプレッシャーを軽減するためにも外部のセキュリティベンダーをうまく活用すべき」との結論に導いています。もちろん、セキュリティベンダーを活用すること自体は間違いではないですし、むしろ推奨すべきものではありますが、この「you are not alone」については「セキュリティ担当者の悩みはいずこも似たようなものなのだから、一人でくよくよ悩むのはやめよう」ととらえ、コミュニティなどを通じた担当者同士の情報交換によってプレッシャーを軽減させることができる(かもしれない)と考えても良いでしょう。
URL
- Trustwave Blog(2017年4月12日付記事)
Introducing the 2017 Security Pressures Report from Trustwave - https://www.trustwave.com/Resources/Trustwave-Blog/Introducing-the-2017-Security-Pressures-Report-from-Trustwave/
- 2017 Security Pressures Report from Trustwave
- https://www2.trustwave.com/security-pressures-report-2017.html
- Help Net Security(2017年4月13日付記事)
Pressures security professionals face have become more personal - https://www.helpnetsecurity.com/2017/04/13/pressures-security-professionals-face/
- 情報処理推進機構(2017年4月13日)
「企業のCISOやCSIRTに関する実態調査2017」報告書について - https://www.ipa.go.jp/security/fy29/reports/ciso-csirt/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。