出典:Eric D ricochet69 / Alamy Stock Photo
世界中でサイバー脅威は件数が増加するとともに、その威力も増している。しかし北欧の組織はその打撃を受けていないようだ。同地域のCISO(最高情報セキュリティ責任者)たちは、予想外に高い水準の準備態勢を報告している。
今週、ストックホルムを拠点とするTruesecが、北欧諸国のCISOへのインタビューに基づく隔年レポートを発表した。2年前に収集したデータと比較すると、他を大きく上回って際立つトレンドが一つあった。セキュリティリーダーたちが、自組織に影響を及ぼす深刻なサイバーセキュリティインシデントの増加を報告していないという点だ。CISOの圧倒的多数が、人工知能の脅威がまだほぼ理論上のものに過ぎなかった2年前と比べて、深刻な問題は増えていないと報告している。
レポートの著者たちはこれを「注目すべき偉業」と表現している。特に、「この急速な時代においては」インシデント件数が横ばいであることは、実際に深刻な被害をもたらす攻撃の相対的な割合が「実質的に減少したことを意味する」からだ。彼らはこの成果を、CISOに与えられる権限やリソースにほとんど意味のある変化がないにもかかわらず、サイバーセキュリティ防御が改善されたことによるものと分析している。
脅威の増大に動じない北欧のCISO
インタビューの中で、北欧のCISOたちはサイバーセキュリティ業界全体が目撃してきた同じトレンドを報告した。これまで以上に多くの脅威活動、より攻撃的な戦術、より執拗な攻撃だ。一例を挙げると、調査回答者によれば、2024年には攻撃者が標的組織への攻撃を開始するまでの平均時間は53日だったという。2026年にはその数字がわずか2.4日にまで短縮されており、これは主にAIの貢献によるものだ。
そうであれば、2024年から2026年にかけて、CISOたちが自組織への深刻なサイバーセキュリティインシデントの増加を報告することが予想される。しかし実態は違う。実に91%もの回答者が、インシデントのレベルは安定・横ばいだと報告した。2024年には、安定していると答えた回答者はわずか29%で、53%は増加したと報告していた。
「おそらく多くの説明が考えられます」と、TruesecのシニアセキュリティアドバイザーであるGabriel Winnberg氏は言う。総じてWinnberg氏と同僚たちは、この改善を組織のサイバーセキュリティの向上に帰因している。「一例として、成熟したマネージドディテクション&レスポンス(MDR)サービスプロバイダーへのアウトソーシングが増加しており、インシデントが深刻化する前に特定・管理する能力が提供されるようになっています。もう一つの例は、攻撃対象領域管理の改善です。」
高まるリスクとより優れた防御のバランスは「米国や他の地域でも私が目にしていることです」と、Noma SecurityのCISOであるDiana Kelley氏は付け加えた。「深刻なインシデントが横ばいになる一方で低重大度のインシデントが増加しているというレポートのデータは、セキュリティチームが検知と封じ込めの精度を高めている一方、より大きな時間的プレッシャーの下でそれを行っていることを示唆しています。」
また、サイバー防御はさておき、AIが主にハッカーを支援しているのは、深刻な被害をもたらしにくい低・中程度の攻撃においてであるという可能性もある。さらにAIが台頭する一方で、かつてはあらゆる組織の悩みの種だったランサムウェアが減少傾向にある。それも助けになっている。
あまり楽観的でない可能性としては、これらの数字が単に調査の限界に起因する偶然の結果に過ぎないことが挙げられる。十分なサンプルサイズなしに実施された調査は、信頼性の低い結果をもたらすことがある。Truesecは調査に参加したCISOの数を報告していないが、「詳細な」インタビューに参加したと示しており、より小規模で対象を絞ったグループであることが示唆される。その結果、一部の数字は現実とかけ離れているように見える。例えば、2022年には深刻なサイバーセキュリティインシデントが減少していると答えたCISOは皆無だった。その数字は2024年に18%に上昇し、2026年には再びゼロに戻った。
CISOの権限は停滞
CISOたちはまた、より大きな組織との関係においても安定を報告した。
近年、CISOたちは取締役会で他の主要幹部と同席する「テーブルでの席」を求めてロビー活動を行ってきた。しかし彼らはまだその一歩手前にいる。大多数は依然として、序列上で自分たちより上位にある技術系(CTO、CIO)または財務系(CFO)リーダーに報告していると回答している。
セキュリティ予算も安定している。2026年に予算が増加または減少したと報告した回答者の割合(増加68%、減少9%)は、2024年(増加66%対減少9%)とほぼ同一だった。
それらの予算の配分方法は組織によって異なるようだ。少数のCISOが予算をサイバーセキュリティの名のもとに統合していると報告している一方で、Winnberg氏は「他方、すべての報告において、一部のセキュリティ投資がIT部門(例:ライセンス費用など)に『シフトレフト』されており、もはやCISOの予算の一部ではなくなっている」と指摘する。
立場における実質的な改善がほとんどないにもかかわらず、レポートは次のように指摘している。「2026年において、インタビューを受けたCISOたちは、組織上の意味ではなく、むしろコミュニケーション上の意味で、自分たちの声がより重視されるようになり、序列が上がったと認識している。」著者たちは、「幹部との距離の近さがCISOをビジネス志向にしている。この変化とともに、重要なシステムを守ることから重要なビジネスプロセスを守ることへと、目標のシフトが生じている」と推測している。
「これも私が米国で目にしていることです」とKelley氏は言う。「サイバーエクスポージャーをビジネスプロセスのリスクへと変換することへの重点は、まさにCISOのフォーカスと経営幹部の方向性が向かうべき場所であり、グローバルに前進していくためのものです。」
翻訳元: https://www.darkreading.com/cybersecurity-analytics/nordic-cisos-rising-cyber-threats
