サイバー セキュリティ対策を増やすだけではうまくいかない理由がグローバル アンケート調査で判明

※この投稿は米国時間 2024 年 11 月 14 日に、Google Workspace blog に投稿されたものの抄訳です。

組織が必要としているのは、より多くのセキュリティ プロダクトではなく、よりセキュアなプロダクト。これは、サイバー セキュリティに関する Google の最新のグローバル アンケート調査で判明した重要ポイントの一つです。セキュリティ対策を単に追加するだけではうまくいかなくなっており、組織が問題解決のためにセキュリティ ツールを増やせば増やすほど、実際には逆効果になってしまう現実が、この調査で明らかになりました。セキュリティの意思決定者の 82% は、セキュリティ対策の改善が必要だと感じている一方で、半数以上は、現在の業務環境が複雑すぎてセキュリティ対策を難しくしていると回答しています。さらに、回答者の 59% は、旧来のテクノロジーに依存しているがために将来のセキュリティ ニーズに対応できなくなっていると吐露しています。調査レポートの全文をダウンロードして、詳細をご確認ください。

調査対象

• 米国、英国、ブラジル、インドのビジネス、IT、セキュリティの意思決定者 2,025 人

• 従業員 300 人以上のさまざまな規模の組織

• 規制対象および非規制対象のさまざまな業種

セキュリティ ツールが増えるほど実際のセキュリティは低下

セキュリティに過去最大の時間と費用をつぎ込んでいる組織は全体の 3 分の 2 以上にのぼりますが、それでもセキュリティを脅かす事象は後を絶たず、その対応にも相当な費用がかかっています。意外なことに、相対的にセキュリティ インシデントの頻度が高く出費が多いのは、10 以上のセキュリティ ツールを使用していると回答した組織です。

セキュリティ ツール多用が逆効果な理由

より多くのセキュリティ ツールに多くの費用をかけている組織の方が、年間のセキュリティ インシデント数が多いのはなぜなのでしょうか。安全性を重視して設計された最新のソリューションを使用していない場合、組織は断片的なアプローチを取らざるを得ず、次から次へとツールを導入して付け焼き刃の対応を繰り返すことになります。それではシステムに深く根差した問題を解決できません。

「人々は同じような対策を次々と重ねて、費用だけが嵩み続けています。たくさんお金をかけたのに問題解決につながらないという声を、お客様や同業者からよく聞きます。とても高額なプラットフォームに投資する一方で、パスワード マネージャーがチームに存在しない場合も多くあります。窓に防弾ガラスを入れて、ドアを開け放しているようなものです。」- SocialProof Security、最高経営責任者 Rachel Tobac 氏

同じ対策の繰り返しは機能しない

セキュリティの意思決定者は、このような新たな状況にプレッシャーを感じており、93% がセキュリティ インシデントへの不安を表明しています。不安の原因は、脆弱性、外部からの攻撃（例: データ侵害、生成 AI 攻撃）、ユーザーの過失や不正行為など、多岐にわたります。

しかし、追加の変更を重ねても、不安は解消されません。そのような対策は、システムにより深く根差した問題に対応するには不十分で、逆にセキュリティ ポスチャーを弱めるケースも多々あります。セキュリティの意思決定者の 82% は、セキュリティ対策の改善が必要だと感じている一方で、半数以上は、現在の業務環境が複雑すぎてセキュリティ対策を難しくしていると回答しています。さらに、回答者の 59% は、旧来のテクノロジーに依存しているがため将来のセキュリティ ニーズに対応できなくなっていると吐露しています。

自信とセキュリティの不一致

組織のセキュリティ体制に自信があると回答した意思決定者でも、ツールとアプローチを形式的に追加投入するばかりで逆にリスクを高めてしまいがちであることが、以下の調査結果からわかります。

• IT ポリシーに沿って対策を講じているのは 56% のみ

• 半数近く（44%）は、ライセンス未取得のツールが「完全に安全」だと信じている

• 3 分の 2（63%）は、ライセンス未取得の生成 AI ツールが毎週のように使用されていると回答

このような認知と実践の乖離は、組織を深刻なセキュリティ リスクに晒すことになります。Assessed.Intelligence の最高経営責任者 Joshua Scarpino 博士はこう指摘しています。「新しいテクノロジーとともにリスクも進化することを、多くの組織は理解していません。そのために、セキュリティ リーダーは常に後追いの対策を迫られ、新たな課題に直面することになりがちです。」

安全な未来に必要なのは新しいアプローチ

調査結果が明白に示しているのは、組織が必要としているのはより多くのセキュリティ プロダクトではなく、よりセキュアなプロダクトだということです。高度なサイバー攻撃の集中砲火を避けるには、組織はデスクトップ時代に設計された旧式のソリューションやアプローチから脱却する必要があります。脅威の最新動向と現代型の業務環境に対応した、安全性を重視した設計のソリューションを取り入れる必要があります。

安全性を重視した設計とは、ソフトウェア開発ライフサイクルのすべてのフェーズにセキュリティを組み込むことです。最初や最後に組み込むだけでは不十分です。また、そのソリューションの設計は、あらゆる攻撃ベクトルと脆弱性を無効化する最新のアーキテクチャに基づいていなければなりません。ビジネスのリスクを根本的に削減できるのは、次のような安全性を重視した設計の最新プロダクトです。

• AI 搭載の防御機能を備えた Gmail は、受信トレイに際限なく送られてくる迷惑メール、フィッシング、マルウェアの 99.9% 以上をブロックします。

• ChromeOS ではこれまで一度もランサムウェア攻撃被害の報告がありません。ChromeOS は、起動時認証をはじめ、実行可能ファイルをブロックする読み取り専用 OS、データの暗号化、サンドボックス化などの機能を備えています。

• Chrome Enterprise の設計にはセーフ ブラウジングが組み込まれており、危険サイトへのアクセスや有害ファイルのダウンロード時には事前に警告メッセージを表示してリアルタイムでユーザーを保護します。

今は、よりセキュアなアプローチが必要な時代です。調査レポートの全文をダウンロードして、詳細をご確認ください。

さらに、Google Workspace で作業の安全性を高める方法にご興味がある方は、担当者にお問い合わせいただくか、Google のセキュリティ アプローチの詳細をご覧ください。