サイバーコンサルティング企業Wavestoneによると、大企業は2024年にサイバー人材を大幅に強化しました。
同社のCyber Benchmark 2024レポートでは、平均して売上高10億ドル超の企業は、従業員1086人あたり1人のサイバーセキュリティ専任の専門家を配置していることが分かりました。
2023年には、同じ組織で従業員1285人あたり1人のサイバー専門職でしたが、これは15%の増加に当たります。
最も優れているのは金融業で、従業員267人あたり平均1人のサイバー専門家を擁する一方、産業グループでは従業員1390人あたり平均1人のサイバー専門家となっています。
Infosecurityの取材に対し、Wavestoneでサイバーセキュリティおよびデジタルトラストを統括するパートナーのGerome Billois氏は、この増加は大企業グループが数年にわたりサイバー防御を強化してきた取り組みによるものだと述べました。
「大企業が強固なサイバー人材の必要性を認識したことを示す、非常に前向きな兆候です。人材の定着を確実にするための取り組みを開始する企業が増えています」と同氏は語りました。
このレポートでは、サイバーセキュリティの任務に時間の半分を充てている人をサイバーセキュリティの専門家とみなし、対象となる従業員数は、組織のITシステムに日常的にアクセスするスタッフに限定しています。
「例えば、サイバー業務を行うのがごく稀なネットワーク管理者のような職種は含めていません」とBillois氏は付け加えました。
サイバー成熟度は53%で安定
6月26日に公開された同レポートは、調査対象組織の全体的な成熟度レベルが53%に達し、2023年から1ポイント上昇したことも明らかにしました。
「組織が防御を強化するために大規模なサイバーセキュリティプログラムを開始してきた数年を経て、現在は進捗がわずかな安定化フェーズに入っています」とBillois氏は指摘しました。
同氏によると、以前の数年間は大企業グループの経営陣が基本的なサイバーセキュリティ対策の実装に動員され、エンドポイント検知・対応(EDR)ソリューションや多要素認証(MFA)の導入を一般化し、Microsoft Active Directory(AD)のようなIDアクセスシステムの保護を進めてきたといいます。
「主な動機はランサムウェア攻撃に対するレジリエンスを高めることであり、それは奏功しました。これらのグループのランサムウェアに対する平均成熟度は、2023年の49.8%から56.9%に上昇しています。ランサムウェアグループによって侵害される大企業グループのITシステムは減っています」とBillois氏は述べました。
同氏はまた、53%は依然として低い成熟度に見えるかもしれない一方で、分析対象企業の中にはサイバー成熟度が過去最高の80〜90%に達しているところもあると指摘しました。
「達成可能であることを示しています」とBillois氏は付け加えました。
予算も安定しており、全セクター平均でIT予算の6.6%を占めています。
大企業はクラウドとデータセキュリティを重視
今年、特に進展が見られた分野は2つありました:
- クラウドセキュリティ(この分野の成熟度は48.3%(+5%))
- データセキュリティ(2023年比で4%上昇)
「オンプレミスのネットワークに関する基本的なセキュリティ対策は概ね適切に実施できるようになったため、大企業はクラウドサービスにもそれらを実装し始めています。そのために、ジャストインタイム管理のような施策を用いて、プラットフォーム管理のセキュリティにおける進歩を活用できます」とBillois氏は述べました。
一方で、データセキュリティ態勢の改善を重視する動きは、主に人工知能の課題が増大していることに起因すると、レポートは指摘しています。
分析対象企業は、いくつかの領域では依然として苦戦しています。これには、組織の平均成熟度が48.9%にとどまるサードパーティセキュリティや、39.9%の産業用制御システム(ICS)セキュリティが含まれます.
WavestoneのCyber Benchmarkは、16カテゴリに分けられた200のセキュリティ対策について、150社超を継続的に評価した結果に基づく年次レポートです。
選定された対策は、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークおよびISO 27001規格に基づいています。
翻訳元: https://www.infosecurity-magazine.com/news/cyber-workforce-grows-15-large/
