英国政府の「サイバーセキュリティ侵害調査2022」によると、サイバーセキュリティリスクを特定するために⾏動した英国企業は54％。2020年の調査と⽐較して10％減少していました。ある世界的セキュリティベンダーの製品管理者は「⼤きな懸念材料とするべき」と警鐘を鳴らしています。サイバーセキュリティで危険なのは、無知であること。「弱点や脆弱性がどこにあるのかを理解しなければ、適切な対策を講じることができない」というのが、その理由です。

そして、サイバー脅威に対して可能な限り最善のセキュリティを確保するためには、知識に基づく推測に頼るのではなく、先回りして準備するプロアクティブなサイバーセキュリティが有効だとアドバイスしています。

攻撃者に悪⽤される前に弱点を特定する。攻撃される前に、その攻撃によって引き起こされる被害を予測する。これらを可能にするのが、プロアクティブなアプローチです。これによりチームは、「より効率的にタスクの優先順位を決めることができ、従来の⼿法よりも迅速にリスクを削減できる」としています。

確かなインベントリと監査に基づいて保護しようとしているものを明確に理解することで、セキュリティチームは仮定に基づいてではなく、経験に基づいて意思決定を⾏うことができます。

統計的に、多くの情報漏えいはサードパーティシステム内のセキュリティ脆弱性によって引き起こされているため、ビジネスパートナー、サプライヤー、請負業者がアクセスできる範囲を理解することが必須です。

セキュリティチームは脆弱性を適切に評価し、修復するだけでなく、セキュリティ事故の調査、解釈、対応における基盤となる存在。チームの誰もが⾃分の役割を知り、ためらいなく⾏動に移せることが⼤切です。チーム間の連携とコミュニケーションは、侵害が発⽣した場合の解決までの時間、修復までの時間を早めることにつながります。

ビジネスリーダーやセキュリティチームは、防御がどのように機能するかを考えるのではなく、防御が実際に今どのように機能しているかを基に意思決定する必要があります。真の強みと弱みを知るということは、攻撃者がどのようにしてアクセスを獲得するのかを特定でき、攻撃が成功するのを未然に防ぐための対策に役⽴ちます。

これらのツールはセキュリティをより効率的にしてくれます。投資を⾏うタイミングは、企業のセキュリティプログラム全体の成熟度に依存しますが、定期的に脆弱性評価を⾏うことで簡単に解決できる問題を取り除くことが可能です。侵⼊テストと敵対者シミュレーションには特定のフレームワークと訓練された実務者が必要ですが、社内で侵⼊テストチームを結成する、あるいはこれらに特化した第三者機関を活⽤することで実施できます。