サイバーセキュリティトレーニングは予算不足

海外の最新調査レポート(iomart)によると、回答者の70%がすべての従業員にサイバーセキュリティトレーニングを提供していないため、深刻なデータ侵害が発生し、企業価値が大幅に下がる可能性があると述べています。

iomartのCybersecurityInsights Reportによると、会社の取締役の4分の1（25％）は、予算上の制約により、スタッフにサイバーセキュリティトレーニングを提供することができません。

経営幹部、取締役、マネージャー、従業員レベルにわたる英国を拠点とする労働者の調査では、28％の企業がサイバーセキュリティトレーニングをまったく提供していないことがわかりました。さらに、42％は、一部のトレーニングは自社が提供しているものの、一部のスタッフしか利用できないと回答し、回答者の3分の2（70％）は、自社がすべての従業員にトレーニングを提供しているわけではないと述べています。

トレーニングを受けたことを確認した人のうち、82％は、これが包括的なコースではなく短いブリーフィングのみで構成されていることを認め、わずか17％がサイバーセキュリティに関連する定期的なセッションを受けました。

（Infosecurity Magazine記事より引用）※機械翻訳

元ソース（iomart）

・CYBER SECURITY INSIGHTS 2020 BY IOMART

キタきつねの所感

iomartのこの調査データに日本企業が含まれてないと思いますが、自社、あるいは仕事上で付き合いがある他社の方々の話から想像すると、日本でもこの結果を「笑ってはいられない」状況にあるのではないのではないでしょうか。

コロナ禍において、自社のビジネスや雇用を守るのに精一杯という状況があるにせよ、コロナのパンデミックによってテレワーク（在宅勤務）が大幅に拡大した結果、サイバー攻撃が増加している全世界的な状況を考えると、ランサム攻撃などのDarkなビジネスは2021年も大きな成功を収めそうな気がしてなりません。

セキュリティの構成要素は経営資源と同じで、人（People）、プロセス（Processes）、製品・技術（Products/Technology)で考える事が多いのですが、ITサービスマネジメントの最良事例であるITIL（Information Technology Infrastructure Library）では、4つ目のPとしてパートナー（Partners）も入れた対策が重要であるとしています。

4要素の内、セキュリティトレーニングは人（People）に該当し、ここの予算を削る事は他の要素が強化されているならば別かと思いますが、全般的なセキュリティの”強度”にも影響する可能性があります。

記事には、他にも気になる事が書かれています。

この調査では、企業の4分の1（25％）が災害復旧ポリシーを持っていないこともわかりました。さらに、31％が災害復旧ポリシーを持っていると答えましたが、テストしたことはありませんでした。

（中略）

会社の取締役は、サイバーセキュリティトレーニングを提供しない主な要因として予算を挙げましたが、すべての回答者が強調したその他の要因は、ビジネス内の技術的専門知識の欠如（8％）と問題が最優先事項ではない（5％）でした。

iomartのセキュリティディレクターであるBillStrain氏は、次のようにコメントしています。「多くの組織が依然としてサイバーセキュリティとデータ保護を最優先事項と見なしていないことは明らかです。

（Infosecurity Magazine記事より引用）※機械翻訳