情報セキュリティ：ビジネスを円滑かつ効率的に運営するための力

CIO CSO 2024カンファレンスでは、情報セキュリティに関する考え方の変化が共有されました。これは画期的なメッセージであり、企業や組織が安全性を確信できない状況において、世界およびベトナムにおける情報セキュリティの状況に大きな変化が生じたことを示しています。

情報セキュリティは選択ではなく必要条件である

イベントの開会の辞で、 情報通信省情報セキュリティ局の代表者は、情報セキュリティ規制の実施はもはや選択ではなく必須であると断言した。

この警告は、情報セキュリティ規制は完了しているものの、多くの企業や組織が依然として主観的であり、リスクに対応する最適な準備ができていないという状況で発せられました。

一方、サイバー犯罪者の活動は活発化しており、ベトナムを市場と見なしています。実際、ベトナム国内の大手企業が攻撃を受け、数百万ドルの損失が発生しているほか、多くの企業がコンプライアンス違反で罰金を科せられています。

この問題を明らかにするため、 Viettelサイバーセキュリティ（VCS）のディレクター、グエン・ソン・ハイ氏は、サイバー犯罪の標的が拡大している現状について語った。ハッカーにとって、財務的に大きな潜在力を持つ大企業はもはや唯一の標的ではない。なぜなら、ある程度の防御力を備えているからだ。ハッカーは今や、情報セキュリティに注力していない「ソフトターゲット」と呼ばれる小規模企業にも標的を広げている。そうなると、彼らは利益を最大化するために大規模な攻撃を仕掛ける。こうして、あらゆる企業が世界レベルのスキルを持つハッカー集団の標的となるのだ。

VCSの担当者は、攻撃はデータや資産の窃取だけでなく、事業運営の妨害も目的としていると評価しています。典型的には、データ暗号化攻撃（ランサムウェア）とAPT標的型攻撃が組み合わさり、少なくとも10テラバイトのデータが暗号化され、国内企業は500万ドル以上の損害を被るとともに、評判や資産にも深刻な打撃を受けています。また、当初侵害を受けた数十社の企業にも被害が出ています。

攻撃者が活動する一方で、企業は情報セキュリティの導入において多くの課題に直面しています。この非対称性から、ハイ氏はサイバー攻撃を受ける可能性は避けられない客観的な現実となり、企業は新たなアプローチを迫られていると考えています。

「以前は攻撃を防ごうとしていましたが、今は攻撃が成功した場合に何が起こるかを想定しなければなりません。それをカバーするソリューション、つまりサイバーレジリエンスを最適化するソリューションが必要であり、最終的には組織や企業の継続的な事業運営を維持することを目指しています」とハイ氏は述べた。

情報セキュリティへの投資は継続的なビジネスパフォーマンスを保証します

VCSディレクターは、国内数百拠点への導入実績を通じて、ITおよび情報セキュリティリーダーが直面する課題を理解しています。その際、解決すべき3つの主要な課題は、人材、投資効率、そしてコスト最適化です。

情報セキュリティ人材は常に不足しており、優秀な人材を確保できるのは大企業のわずか5%に過ぎないという状況です。VCSの専門家は、既存の人材のトレーニングとパートナーとの連携によるリソースの補充を組み合わせ、24時間365日体制の監視チームを構築することを推奨しています。

投資効率に関して、ハイ氏は、投資の成果だけでなく、成果指標で測定する必要があると示唆した。「以前は、どれだけのインシデントや攻撃を防ぐかが目標でした。しかし今では、究極の目標は事業継続性を確保することです」とハイ氏は強調した。

最後に、VCS のリーダーによると、コストを最適化するには、一貫した方向にやり方を変えることに加えて、専門性を高めて投資の分散を避けるために適切なパートナーを見つける必要があるとのことです。

企業にとっての情報セキュリティパートナーは、製品プロバイダーでも情報セキュリティサービスプロバイダーでも構いません。しかし、これらのパートナーが単独で活動する場合、包括的な戦略を提供できない、組織を深く理解していない、さらにはコストが膨れ上がり、管理が困難になるといった問題が多々あります。

これは、過去 2 年間にわたり VCS がサイバー セキュリティ成熟度プログラム (CSMP) を開発し、管理および測定指標を確立し、コストを管理および最適化しながらビジネスのライフサイクルに沿って情報セキュリティの成熟を支援し、効果的で継続的な運用を確保することで長期的なパートナーになることを目指した理由でもあります。