海の向こうの“セキュリティ”

セキュリティ担当者にかかるプレッシャーは「パーソナル」なものに

 米セキュリティ企業のTrustwaveは、企業や組織のセキュリティ担当者が感じる「プレッシャー」について調査した「2017 Security Pressures Report」を公開しました。「プレッシャー」という表現を使っていますが、正確には「プレッシャー」という観点で調査した「意識調査」と言える内容になっています。

 調査対象は、米国の600の組織(企業を含む)をはじめ、カナダ、英国、オーストラリア、シンガポール、日本のそれぞれ200、計1600の組織における常勤のIT専門家でセキュリティに対して何らかの責任を持っている立場の方たちです。具体的には、CIO、ITまたはITセキュリティのディレクターやマネージャーが中心となっています。業種はさまざまで、中でもテクノロジー、製造業、サービス業が多く、従業員数の平均は4267人です。調査方法としては、2017年1月にメールを介して行われました。誤差の範囲は、米国に関しては±4%、それ以外の国に関しては±6.9%です。なお、今回で4年目となる報告書ですが、今回から調査対象に日本が加わっています。

 まず、前年(2015年)と比べて2016年に感じたプレッシャーが増えたか減ったかを訊ねた結果が以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
増えた63%53%60%53%53%55%37%51%
同じ21%30%24%32%35%33%27%42%
減った16%17%16%16%13%13%37%8%

 2016年と比べて、2017年に感じることになるであろうプレッシャーの予想を訊ねた結果が以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
増える65%58%62%60%53%57%48%57%
同じ24%31%24%32%36%35%33%37%
減る11%12%14%8%12%8%20%7%

 プレッシャーは増加する方向にあると回答している割合が最も多いですが、それでも前年の調査と比べると、増える方向で回答している割合は減っています。また、シンガポールでは減る方向で回答しているケースが他国と比較して多い点が目を引きます。

 プレッシャーを与える存在は誰かとの問いに対する回答をまとめたのが以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
経営層/オーナー59%46%51%40%47%35%57%39%
自分自身11%24%27%27%20%31%12%22%
直属の上司21%19%15%20%20%21%22%21%
ない2%6%4%8%6%9%1%16%
同僚7%5%3%7%9%5%9%3%

 前年は6割近くに及んでいた「経営層/オーナー」が半分以下に減り、代わりに「自分自身」が倍以上に増えて2番目となっています。このように「自分自身」と回答している割合が多めなのは、調査対象ではシンガポール以外のすべての国で共通しています。

 経営層やオーナーからのプレッシャーが減った点について報告書では、明確な理由は分からないとしながらも、セキュリティ担当者への過度なプレッシャーはストレスや燃え尽き症候群につながる可能性があり、成果をあげることはできないとの認識が経営層などに広まったからではないかとしています。また、セキュリティ人材に対する需要が非常に高い現在、優秀な人材を失うわけにはいかないという点も指摘されています。この前年からの傾向の変化について、「セキュリティ担当者へのプレッシャーはよりパーソナルなものになってきている(Pressures security professionals face have become more personal)」と表現しているメディアもあります。

 最もプレッシャーを感じるときを訊ねた結果が以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
大規模なセキュリティ侵害がメディアで大きく報道された直後39%40%45%32%30%32%38%57%
四半期末11%21%20%31%27%24%16%15%
上司や役員とのミーティングの直前17%15%15%11%17%19%19%11%
上司や役員とのミーティングの直後23%9%9%12%10%8%13%4%
年度末5%8%7%9%9%9%13%4%
休暇中5%7%5%7%8%9%3%10%

 前年の調査と比べ、「四半期末」が倍増し、「上司や役員とのミーティングの直後」は半分以下に減っています。また、誤差の範囲ではありますが、「休暇中」と回答した割合が最も多いのが日本というのも目を引きます。

 運用において現在直面している最大のプレッシャーを訊ねた結果が以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
高度なセキュリティ脅威24%29%33%24%25%21%25%41%
スキルや専門知識の不足5%15%11%17%9%13%24%21%
予算の不足12%14%12%13%20%16%16%14%
新しい技術の採用(例: モバイルアプリ、クラウド、SNS、BYOD、IoT)25%13%13%15%11%17%14%6%
時間の不足6%9%8%10%13%14%4%7%
セキュリティ技術や製品の複雑さ11%9%10%13%11%7%9%4%
要員の不足5%5%5%4%4%6%6%7%
外部のプロバイダや請負業者がベストプラクティスに従うことの確保6%5%6%4%8%6%2%2%
営業部門からのリクエスト6%2%2%3%1%2%2%1%

 「高度なセキュリティ脅威(Advanced security threats)」を挙げた割合が日本と米国で特に多いことが分かります。また、「スキルや専門知識の不足(Lack of security skills/expertise)」を挙げた割合がシンガポールと日本で高いのも特徴的です。

 セキュリティ面での準備ができていないと懸念しているITプロジェクトをロールアウトするようにプレッシャーをかけられたことがあるかとの質問に対する回答をまとめたのが以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
1、2回ある60%50%56%41%44%47%56%43%
ない23%35%29%43%41%41%26%43%
しばしばある17%15%15%16%16%13%18%14%

 スピードよりもセキュリティを優先しているのは全体で35%にとどまっていますが、それでも前年の調査よりは改善が見られています。一方、米国とシンガポールではスピードを優先する傾向が見られています。

 ITセキュリティチームへのプレッシャーを減らし、効率的に業務を遂行するために必要なチーム規模について訊ねた質問への回答をまとめたのが以下の表です。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
現在の2倍52%44%45%45%45%36%50%46%
現在の4倍29%26%29%28%24%28%23%20%
現在で丁度良い13%24%20%25%26%33%21%26%
現在の4倍より上6%6%6%4%6%5%7%9%

 現在の規模でちょうど良いとの回答が前年と比べてほぼ倍増し、全体の約4分の1を占めています。また、オーストラリアを除いてほぼ同じ傾向が見られています。

 自らが直面するプレッシャーを軽減してくれる2017年の「ほしい物リスト」のトップ項目は何かとの質問に対しては以下のような回答が得られています。

2016年の調査前年比2017年の調査米国英国カナダオーストラリアシンガポール日本
予算の増額33%30%23%34%43%31%36%29%
スキルの向上20%24%26%25%21%21%22%30%
複雑なセキュリティ技術や製品の削減15%14%14%16%12%17%13%15%
セキュリティベンダとの契約8%11%13%8%11%10%13%7%
営業部門からのリクエストの減少7%9%12%5%6%10%5%8%
セキュリティに集中できる時間の増加14%9%11%11%8%8%10%7%
要員の増強3%3%2%3%1%6%2%5%

 どの国でも「予算の増額」と「スキルの向上」が上位2項目を占めています。

 Trustwaveはセキュリティベンダーですので、この報告書では「you are not alone」として「セキュリティ担当者のプレッシャーを軽減するためにも外部のセキュリティベンダーをうまく活用すべき」との結論に導いています。もちろん、セキュリティベンダーを活用すること自体は間違いではないですし、むしろ推奨すべきものではありますが、この「you are not alone」については「セキュリティ担当者の悩みはいずこも似たようなものなのだから、一人でくよくよ悩むのはやめよう」ととらえ、コミュニティなどを通じた担当者同士の情報交換によってプレッシャーを軽減させることができる(かもしれない)と考えても良いでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。