ソフォス株式会社は3月5日、サイバーセキュリティ組織の構造が成果に及ぼす影響についての分析を発表した。
同分析は、14ヶ国の中規模組織(従業員数100人以上5,000人未満)で働く3,000人のIT/サイバーセキュリティの専門家を対象に、各組織の構造の比較を通じてサイバーセキュリティの経験を調査、組織構造とセキュリティ成果との間に関係があるかどうか、関係があるとすれば、どの組織構造が最も優れた成果を達成したかを明らかにしている。
自組織におけるサイバーセキュリティとIT機能の構造を最もよく表しているモデルを1つ選択するよう回答者に依頼した結果は下記の通り。
モデル 1:IT チームとサイバーセキュリティチームは別の組織(n=1,212)
モデル 2:サイバーセキュリティ専門のチームは IT チームの一部(n=1,529)
モデル 3:サイバーセキュリティ専門のチームは存在せず、代わりに IT チームがサイバーセキュリティを管理(n=250)
分析の結果によると、比較的大規模なITチームの中にサイバーセキュリティ専門チームが存在する組織(モデル 2) は、他の2つのグループよりもサイバーセキュリティの成果が全体的に優れていることが明らかとなり、逆にITチームとサイバーセキュリティチームが分離している組織(モデル 1)では全体的な経験が最も劣っていることが判明した。サイバーセキュリティと広範なITオペレーションはまったく別の専門分野だが、本質的には関連していることを、モデル 2が比較的成功している理由として推測している。
また、組織の構造によって報告されたランサムウェア攻撃の根本原因は下記の通り異なっていた。
モデル 1:攻撃のほぼ半数(47%) において、根本原因は脆弱性の悪用であり、認証情報の侵害(24%)が続いた。
モデル 2:攻撃の根本原因としては脆弱性の悪用(30%) と認証情報の侵害(32%)が、ほぼ同等の割合。
モデル 3:攻撃のほぼ半数(44%)が認証情報の侵害に起因するもので、脆弱性の悪用はわずか16%であった。
ランサムウェアからの復旧についても、モデル 1の組織は身代金を支払う傾向が他のグループよりもはるかに強く、暗号化されたデータを復元するためにバックアップを使用する割合が最低だった。モデル 1の組織は身代金の支払い額が非常に大きく、その中央値はモデル 2と3の2倍以上であった。
セキュリティオペレーションについて分析したところ、モデル 2の組織がセキュリティオペレーションの提供においては最大の成果を出す一方で、ほとんどの組織にとって効果的なセキュリティオペレーションを単独で実現するのは困難だということが判明した。重要な能力やスキルが不足している場合、チームをどのように構成してもほとんど差異はなく。
