FTSE 100 企業のうち 5 社のうち 1 社のみがオンライン ビジネス保護プランのテストについて公開しています。
FTSE100企業の大半(57%)は、年次報告書の中で全体的な危機管理、緊急時対応、または災害復旧計画について言及していますが、サイバーセキュリティについて言及している企業は比較的少ないです。経営コンサルティング会社デロイトの調査によると、英国の優良企業のうち、取締役会に少なくとも年に2回、定期的にセキュリティの最新情報を共有している企業はわずか21%です。
サイバーリスクテストには、ITシステムの脆弱性を発見するための「倫理的ハッキング」(別名ペネトレーションテスト)などのサービスが含まれます。6月に施行されるEUの一般データ保護規則(GDPR)により、英国およびその他の加盟国におけるデータ漏洩は、より厳しい金銭的制裁の対象となり、セキュリティテストの重要性はさらに高まります。
デロイトUKのサイバーリスクサービス責任者、フィル・エバーソン氏は次のように述べています。「ハッカー志望者はシステムの脆弱性を探してアクセスするため、強力なサイバーレジリエンスを確保するにはテストが不可欠です。当社の分析でこれらの脆弱性に対するテストを開示した企業の20%は、企業が継続的かつ積極的に欠陥をテストする手段を備えていること、そして欠陥が発見された場合は修正に積極的に取り組む姿勢を示していることを投資家に示しています。」
富士通のEMEIAエンタープライズおよびサイバーセキュリティ担当副社長のロブ・ノリス氏は、サイバーセキュリティ計画の公開をためらうのには多くの場合説明がつくと主張した。
「今後施行されるGPDRでは、情報漏洩が発生した場合に組織が正直であることを求めることになるが、企業がどのような防御策を講じているかをハッカーが理解できるため、特定のサイバーリスクテストの詳細を開示するよう企業に強制することはより困難になる可能性がある。」
窃盗、詐欺、ブラフ:エル・レグはペンテストを行う「レッドチームハッカー」と共存している
続きを読む
「企業は、少なくとも自社のサイバーリスクテストについて、取締役会にオープンかつ誠実に報告していることを確認する必要がある。」
アイルランド初のCSIRTの創設者兼責任者であり、ユーロポールのインターネットセキュリティ担当特別顧問でもあるブライアン・ホナン氏は、企業がセキュリティテストを開示しないこと自体はそれほど懸念すべきことではないことに同意した。
「企業が試験結果を公表しないのはごく普通のことです」とホナン氏はエル・レグ紙に語った。「企業は、その情報が悪意ある人物に利用されたり、世間の注目を集めたりするのではないかと恐れているのかもしれません。」
しかし、情報セキュリティのベテランであるスティーブン・ボナー氏は、「テストは不可欠で、情報開示は選択肢の一つだが、企業は透明性が信頼を生むことにますます気づき始めている。そして近い将来、情報開示をしないこととテストをしないことの区別がつかなくなるかもしれない」と述べた。
FTSE100企業のうち、取締役会にセキュリティアップデートを提供している企業の割合は少ないものの、89%がサイバーを「主要リスク」と認識し、侵害が発生した場合に生じる様々な影響を特定しています。事業運営の混乱が最も懸念されるものの、侵害による評判の失墜や経済的損失も懸念材料として挙げられています。
デロイトの調査によると、テクノロジーまたはサイバーセキュリティの専門経験を持つ取締役がいる企業は8%で、昨年の5%から増加しています。また、今年、経営陣に最高情報セキュリティ責任者(CISO)がいることを開示した企業の数も、この数字とほぼ同数です。
富士通のノリス氏によると、広く報道されているスキルギャップは、大企業がサイバーセキュリティの専門知識を高める能力に影響を与える可能性があるという。「多くの組織は、潜在的な脅威がエスカレートして問題となる前に特定・阻止するための早期警戒システムとして、サイバー脅威インテリジェンス(CTI)を活用するようになるでしょう」とノリス氏は述べた。「しかし、スキルギャップは特にIT部門に影響を及ぼしているため、組織に追加のサポートが必要な場合は、取締役会にそのことを認識させる必要があります。そして、それは定期的なセキュリティアップデートを通じてのみ実現できるのです。」®
