シェーン・オドネル氏は、セントリック・コンサルティングのサイバーセキュリティ担当副社長であり、監査とサイバーリスク管理において20年の経験を持つ。
サイバーセキュリティにおいて、神話は単なる無害な誤解ではなく、一般的な知恵として偽装された高額な脆弱性である。あらゆる業界の企業が、混乱を生み出し、セキュリティ体制を積極的に弱め、数百万ドルの損失をもたらす可能性のある攻撃に対して脆弱な状態にする思い込みに直面している。
サイバーリスク管理における20年の経験に基づき、私が遭遇した最も一般的で根強く、コストのかかる5つの神話とその真実をご紹介する。
神話1:SOC 2はテクノロジー企業だけのものである。
神話:SOC 2レポートはテクノロジー企業だけのものであり、多大なリソースを必要とする。
現実:SOC 2は、統制の有効性を評価するCPA会計事務所による独立した証明である。これは業界を問わず、金融、医療、専門サービス、小売など、顧客データを扱うあらゆる組織に利益をもたらす。
この誤解が特にコストがかかるのは、悪意のある攻撃者が攻撃する前に防御を固める機会を逃してしまうことだ。2022年には、41%の中小企業が侵害を経験した。2023年には全サイバー攻撃の43%が中小企業(SMB)を標的にしていたにもかかわらず、これらの企業のわずか14%が「自社を守る準備ができている」と述べているのは驚くべきことだ。
中小企業はSOC 2には小規模すぎると考えているが、平均331万ドルの侵害コストに直面しており、大規模な攻撃を受けた中小企業の60%が6か月以内に閉鎖している。SOC 2がすべての企業に適しているわけではないが、セキュリティ体制を測定し、その体制を顧客やその他の利害関係者に示す優れた方法となりうる。
神話2:vCISOは「本物の」CISOではない。
神話:私たちはいくつかの関連するvCISOの神話を耳にしてきた。例えば、バーチャルCISOは単なるITコンサルタントであるとか、「バーチャル」というラベルは専門知識が劣ることを示すというものだ。また、中小企業だけがvCISOのサポートを必要とする、あるいはvCISOを雇うことは組織がセキュリティを真剣に考えていないことを示すという神話もある。
現実:「バーチャル」という名称は、提供される専門知識やリーダーシップの深さではなく、柔軟な契約ベースのエンゲージメントモデルを指している。熟練したvCISOは、レポートを提出して姿を消す一時的な人物ではなく、長期的な戦略とガバナンスを形成する継続的な経営パートナーとして機能する。
中小企業にとって、vCISOはエグゼクティブレベルのセキュリティリーダーシップを持つか持たないかの違いとなることが多い。そして、これは小規模企業だけのものではない。大企業も定期的に特殊なプロジェクト、規制イニシアチブ、または暫定的なリーダーシップのためにvCISOを採用している。
vCISO業界は2024年の14億ドルから2033年には38億ドルに成長すると予測されていることから、市場もこのアプローチを支持している。vCISOを雇うことは、フルタイムのオーバーヘッドなしにエグゼクティブガイダンスを優先する戦略的成熟度を示している。
神話3:ペネトレーションテストは「健全性の証明」である。
神話:組織は年に1、2回ペネトレーションテストを完了することで、すべてが安全であることを証明できる。
現実:ペネトレーションテストは最終結果ではなく、セキュリティ体制のある時点でのスナップショットである。
Webアプリケーションにおける重大な脆弱性は2024年に2023年と比較して150%増加し、高度な重大度の脆弱性は60%増加した。前四半期に安全だったものが、今日では脆弱かもしれない。新たなエクスプロイトが出現し、構成が変更され、ソフトウェアの更新が新たな攻撃面を導入する。
より効果的なアプローチは、セキュリティを継続的な生きたプロセスとして捉え、環境に応じて四半期ごと、月ごと、または毎日評価を実施することだ。定期的な検証を求めるのではなく、組織は現在のサイバー脅威の状況に対処するために、この継続的な評価と適応のタイムラインを受け入れるべきである。
神話4:監査は敵対的なものである。
神話:監査は欠陥を見つけ、責任を割り当て、またはペナルティにつながる弱点を暴くために存在する。それらは大企業のためだけのものであり、何か間違ったことをしているのを捕まえるためのものである。
現実:ビジネスリーダーに「監査」という言葉ほど恐怖を与えるものは少ない。しかし、この誤解は組織が監査プロセスから真の価値を引き出すことを妨げている。財務、運用、またはセキュリティに焦点を当てた監査は、洞察を提供し、内部プロセスを強化し、より良い意思決定をサポートするように設計されている。目標は問題がエスカレーションする前に特定することである。
また、監査は大企業だけのものではないことも注目に値する。あらゆる規模の組織が、財務の透明性と運用効率の向上から恩恵を受けることができる。
神話5:GRCはコンプライアンスのチェックボックスにすぎない。
神話:ガバナンス、リスク、コンプライアンス(GRC)は、規制要件を満たし罰金を避けるための必須の活動セットであり、本質的には実際のビジネス価値のない官僚的なチェックボックスである。
現実:この狭い視点は戦略的価値を見逃している。GRCは、ガバナンスが戦略的方向性と文化を設定し、リスク管理が脅威と機会を特定し積極的に管理し、コンプライアンスが主要な推進力ではなく効果的なガバナンスとリスク管理の結果となる包括的なフレームワークである。
統合されたGRCプラットフォームを持つ企業は、偽陽性の削減において最大42%の効率向上を報告している。組織がGRCをチェックボックスとして扱うと、価値をほとんど加えない硬直的で反応的なプロセスを作り出す。GRCをパフォーマンスと完全性のための戦略的推進力として受け入れると、セキュリティ投資をビジネス目標に合わせる競争上の優位性となる。
次のステップは?
これらの神話は危険なパターンを共有している。それらは複雑で戦略的なセキュリティ機能を単純なチェックボックス演習に変えてしまう。そうすることで、効果的なセキュリティが継続的で協力的で根本的に戦略的であるという認識に失敗している。
これらの神話を信じることによる財務的な結果は驚異的だ。例えば、IBMによると、2025年のデータ侵害の平均コストはすべての企業規模で世界的に444万ドルに達し、米国の組織は1件あたり1022万ドルに直面している。また、侵害を受けた組織は、それを特定して封じ込めるのに平均241日かかる。さらに、サイバーセキュリティ支出の削減を計画した企業は、70%多くのインシデントに直面し、回復時間が10か月以上に延びる。
これらの神話が存続するのは、組織が難しい決断を先送りし、困難な会話を避け、問題を先延ばしにすることを可能にするからだ。しかし、脅威アクターは行動を待っておらず、あなたも待つべきではない。
