多くのサイバーセキュリティチームが、新興技術への対応や組織防御に必要なトレーニングを受ける時間を確保できず、最新の脅威への対処に苦慮しているという実態が、新たな調査で明らかになりました。
この調査はISC2が公表したもので、世界中の大企業に勤めるサイバーセキュリティリーダー約1000人を対象に、組織におけるセキュリティチームのトレーニングへの取り組みを尋ねています。
回答者の約4分の3(73%)は、新技術の台頭とそれに伴うサイバーセキュリティ上の課題を受け、過去1年間でセキュリティトレーニング予算が増加したと回答しました。
最も顕著な新たな課題の一つがAIの台頭です。回答者のほぼ半数(47%)が、AIはトレーニングを通じて対処済みまたは対処予定の最重要スキルだと答えています。
しかし調査では、予算が増加しているにもかかわらず、セキュリティ担当者へのトレーニング提供やスキルアップには依然として多くの障壁が存在することが判明しました。
その大きな要因の一つが、従業員がトレーニングに充てられる時間の不足です。調査に参加したセキュリティリーダーのほぼ全員(98%)が、勤務時間内に従業員がプロフェッショナルな能力開発やトレーニングに参加することを組織として認めていると回答しました。
にもかかわらず、回答者の過半数強(53%)は、勤務日中にトレーニングや能力開発への参加を妨げる課題に直面していると答えています。
サイバーセキュリティトレーニング時間確保の難しさ
組織がトレーニングを支援していても、日々の業務の現実として、通常の勤務時間内にトレーニングのための専用時間を設けることは難しいことが多いです。
調査によると、トレーニングの障壁となっているその他の課題としては、トレーニング内容を最新かつ適切な状態に保つこと(45%)、資格を持つトレーナーの確保の難しさ(39%)、トレーニングへの従業員の参加意欲の低さ(37%)、経営陣や関係者からのサポート不足(32%)などが挙げられています。
トレーニング予算は全体として増加しているものの、サイバーセキュリティリーダーの約3分の1(29%)は、チームに最新のトレーニングを提供するための予算がいまだに不足していると回答しています。
それでも、こうした課題があるにもかかわらず、セキュリティリーダーの多くは、過去1年間において自組織のセキュリティトレーニングプログラムが主要プロセスの改善に非常に、あるいは極めて効果的だったと評価しています。
継続的なトレーニングが備えの鍵
セキュリティのトレーニングやスキルアップのプログラムは、一度実施すれば終わりというものではありません。技術とサイバー脅威が進化し続ける中、サイバー攻撃から組織を守る責任を担う人材に対して、常に備えを万全にするためのリソースと時間を確保することが重要です。
ISC2によると、これを実現するための最善策は、通常業務から切り離した形で、従業員がトレーニングに取り組む専用の時間を明示的に設けることだとしています。
「トレーニングのための専用時間を確保し、業務量を適切に調整し、チームが学習を優先できるよう必要なガイダンスとリソースをマネージャーに提供することで、そのコミットメントを実のあるものにしてください」と、同レポートは述べています。
「トレーニングが業務時間内に組み込まれ、マネジメントのサポートが得られる環境が整えば、セキュリティチームはトレーニングの機会をより有効に活用できるようになるでしょう。」
How Enterprises are Strengthening Their Cybersecurity Teams Through Trainingレポートは、カナダ・ドイツ・インド・日本・英国・米国の大企業(従業員5000人以上)に勤めるサイバーセキュリティリーダー995人の回答をもとに作成されています。
翻訳元: https://www.infosecurity-magazine.com/news/cybersecurity-training-time/
