情報セキュリティ：ビジネスを継続的かつ効率的に運営するための力

CIO CSO 2024カンファレンスでは、情報セキュリティに関する考え方の変化が共有されました。これは画期的なメッセージであり、どの企業や組織も安全だと確信できない状況において、世界およびベトナムにおける情報セキュリティの状況に大きな変化が起こっていることを示しています。

情報セキュリティは選択ではなく必要条件である

イベントの開会にあたり、 情報通信省情報セキュリティ局の代表者は、情報セキュリティ規制の実施はもはや選択ではなく必須であると断言した。

この警告は、情報セキュリティ規制は完備しているものの、多くの企業や組織が依然として主観的であり、リスクに対応する最適な準備ができていないという状況で発せられました。

一方、サイバー犯罪者の活動はますます活発化しており、ベトナムを市場として捉えています。実際、ベトナム国内の大手企業が攻撃を受け、数百万ドル規模の損失が発生しているほか、多くの企業がコンプライアンス違反で罰金を科せられています。

この問題を明らかにするため、 Viettelサイバーセキュリティ（VCS）のディレクター、グエン・ソン・ハイ氏は、サイバー犯罪の標的が拡大している現状について語った。財務的に大きな潜在力を持つ大企業は、ある程度の防御力を備えているため、もはやハッカーにとって唯一の標的ではない。ハッカーは今や、情報セキュリティに注力していない「ソフトターゲット」と呼ばれる小規模企業にも標的を広げている。そして、利益を最大化するために大規模な攻撃を仕掛ける。こうして、あらゆる企業が世界レベルのスキルを持つハッカー集団の標的となっているのだ。

VCSの担当者は、攻撃はデータや資産の窃取だけでなく、事業運営の妨害も目的としていると評価しています。典型的には、データ暗号化攻撃（ランサムウェア）とAPT標的型攻撃が組み合わさり、少なくとも10TBのデータが暗号化され、国内企業は500万ドル以上の損害を被るとともに、当初侵害を受けた数十社の企業に加え、企業の評判や資産にも深刻な影響を与えています。

攻撃者が活動する一方で、企業は情報セキュリティの導入において多くの課題に直面しています。この非対称性から、ハイ氏はサイバー攻撃を受ける可能性は避けられない客観的な現実となり、企業は新たなアプローチを迫られていると考えています。

「以前は攻撃を防ごうとしていましたが、今は攻撃が成功した場合に何が起こるかを想定しなければなりません。それをカバーするソリューション、つまりサイバーレジリエンスを最適化するソリューションが必要であり、最終的には組織と事業の継続的な運用を維持することを目指しています」とハイ氏は述べた。

情報セキュリティへの投資は継続的なビジネスパフォーマンスを保証します

VCSディレクターは、国​​内数百拠点への導入実績を通じて、ITおよび情報セキュリティ責任者が直面する課題を理解しています。その際、解決すべき3つの主要な課題は、人材、投資効率、そしてコスト最適化です。

情報セキュリティ人材は常に不足しており、優秀な人材を確保できるのは大企業のわずか5%に過ぎないという状況です。VCSの専門家は、既存の人材のトレーニングとパートナーとの連携によるリソースの補充を組み合わせ、24時間365日体制の監視チームを構築することを推奨しています。

投資効率に関して、ハイ氏は、投資の成果だけでなく、成果指標で測定する必要があると示唆した。「以前は、どれだけのインシデントや攻撃を防ぐかが目標でした。しかし今では、究極の目標は事業継続性を確保することです」とハイ氏は強調した。

最後に、VCS のリーダーによると、コストを最適化するには、一貫した方向にやり方を変えることに加えて、専門性を高めて投資の分散を避けるために適切なパートナーを見つける必要があるとのことです。

企業にとっての情報セキュリティパートナーは、製品サプライヤーや情報セキュリティサービスプロバイダーなどです。しかし、これらのパートナーが単独で活動する場合、包括的な戦略を提供できない、組織を深く理解していない、さらにはコストが膨れ上がり、管理が困難になるといった問題が起こり得ます。

これは、VCS が過去 2 年間にわたりサイバー セキュリティ成熟度プログラム (CSMP) を開発し、管理および測定指標を確立してビジネスのライフサイクルに沿ってコストを管理および最適化し、情報セキュリティの成熟を支援して効果的かつ継続的な運用を確保することで長期的なパートナーになることを目指している理由でもあります。