フォーティネット、80%の侵害がサイバーセキュリティのスキルギャップと相関関係にあるとのグローバル調査結果を発表
サイバーセキュリティの人材不足、採用、多様性、セキュリティ認識などの主要課題を世界1,223名のIT及びサイバーセキュリティ部門意思決定者に調査
サイバーセキュリティの世界的リーダーで、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)ソリューションを提供するフォーティネット(Fortinet®)は、本日、「サイバーセキュリティスキルギャップレポート2022年版」を発表しました。25以上の国と地域から1,223人(日本を含む)のITおよびサイバーセキュリティの意思決定者を対象に実施した同レポートでは、サイバーセキュリティ分野でのスキル不足が、セキュリティ侵害の発生やそれに伴う損失など組織の様々な側面に深刻な影響を与えている実態が明らかになりました。
具体的には、調査対象の80% (日本では50%の組織)が、サイバーセキュリティのスキルや認識の欠如に起因したと推測される侵害を過去1年間に少なくとも1度は経験し(図1)、さらに、売上の損失、復旧コスト、罰金を伴う侵害を同期間に経験した組織が全回答の64%(日本 37%)に及ぶなどのデータがこうした傾向を如実に示しています(図2参照)。
また、スキルギャップは引き続き各部門リーダーの最大の懸案事項であるだけでなく、広い階層において、より高い優先度を要求されるようになっています。
サイバーセキュリティのスキル不足の世界的かつ広範な影響
フォーティネットが今回発表したレポートは、サイバーセキュリティスキルのギャップが端緒となって生じうるさまざまなリスクを明らかにしています。前述の、リカバリーコストを伴う侵害を過去一年間に経験した組織が64%に及ぶデータ等に代表されるように、侵害や漏洩が組織の利益や評判にも多大な損害を与えるようになり、多くの上級管理職がサイバーセキュリティを優先事項と考えるようになっています。取締役会が存在する組織の88%(日本 81%) が、サイバーセキュリティに関する問題が取締役会で議論されたことがあると回答しました(図3)。また、76%(日本 71%)の組織が、取締役会においてITとサイバーセキュリティ部門の増員提案が諮られたことがあると回答しました。
また、サイバーセキュリティのスペシャリストで構成される国際的な非営利会員団体 (ISC)2による2021年版「Cyber Workforce Report」によると、組織の重要な資産を効果的に保護するには、世界のサイバーセキュリティ人材を65%増員する必要があります。このギャップの解消に必要なプロフェッショナルの数は1年間で312万人から272万人へと減少したものの、依然大きなギャップが組織を脆弱にする要因であることに変わりありません。
サイバースキルギャップは、もはや単なる人材不足の問題でなく、ビジネスに深刻な影響を及ぼしており、世界中の経営幹部の最大の懸念事項であることが今回の調査で示されました。フォーティネットはTraining Advancement Agenda(TAA)とTraining Instituteのプログラムを通じて、サイバーセキュリティの認定資格やサイバー業界への女性の積極的な採用に重点を置くプログラムの提供等を積極的に展開することで、本調査で明らかになった課題の解決に取り組みます。また、フォーティネットでは、2026年までの今後4年間で、サイバーセキュリティのプロフェッショナルを100万人増員することを目標にトレーニングプログラムを積極的に実施し、スキル不足を補います。
トレーニングや認定資格プログラムを活用したサイバーセキュリティスキルの向上
フォーティネットのスキルギャップレポートは、今日の組織に要求されるスキルレベルと現状のスキルレベルの間に存する乖離を解消するには、トレーニングと認定資格が有効であることを示しています。95%(日本 86%)のリーダーが、テクノロジーに特化した認定資格が自分や自分のチームに良い影響を与えると考え(図5)、81% (日本79%)のリーダーが、認定資格を持つ人材を優先的に採用(図6)していることがわかりました。さらには、91%(日本75%)の回答者が、従業員がサイバー関連の認定資格を取得するための費用を支給する考え(図7)があると回答しました。認定資格が高く評価される主たる要因のひとつは、サイバーセキュリティに対する理解度や意識の向上が客観的に証明される点にあります。
認定資格重視の傾向に加え、87%(日本71%)の組織が、サイバー知識の向上を目的とするトレーニングプログラムを採用していることもわかりました。一方、52%(日本71%)のリーダーが、今なお従業員に必要な知識が不足していると考えていることから、現在のセキュリティ意識向上プログラムの効果に疑問が残る結果となっています。
より効果の高いトレーニングプログラムの導入を検討する組織に対し、フォーティネットは受賞歴あるFortinet Training Instituteを通じて、セキュリティ意識の向上およびトレーニングサービスを提供しています。従業員のサイバーセキュリティ意識向上にこのサービスを活用することで、組織の重要なデジタル資産をより強力に保護できるようになります。フォーティネットのFortiGuard Labsの比類ない脅威インテリジェンスを活用できるこのサービスは、進化を続ける最新のサイバー攻撃手法の理解や、侵害やリスクが発生する以前の段階での防止に貢献します。
多様性へのコミットメントによる採用と定着の課題の解決
現代の組織が直面する困難な課題は、クラウドセキュリティのプロフェッショナルやSOCアナリストをはじめ、セキュリティ領域の要職を担う最適な人材を採用し、長期にわたり貢献できる組織にすることです。今回の調査では、60% (日本67%) のリーダーが、自社の採用活動が簡単ではないと回答し、52% (日本63%)のリーダーが人材の定着は難しいと考えていることがわかりました。
採用の課題の1つである、女性、新卒者、マイノリティの採用については、世界で10人中7人のリーダーが、女性や新卒者の採用が最大の課題であると回答(日本の回答者では、女性につき70%、新卒者につき67%)し、61%(日本54%)が、マイノリティの採用を課題に挙げました。多くの組織が有能で多様な人材の雇用を目指すようになっており、「多様性」を明確な目標として雇用戦略に掲げる組織は89% (日本63%)、女性の積極的採用に特化した公式な体制や戦略がある組織は75% (日本58%)、マイノリティ採用に同様の戦略がある組織は59%(日本46%)にのぼることがわかりました。退役軍人を積極的に雇用している組織は51%でした。
フォーティネットのスキルギャップ調査について
- この調査は、25以上の国と地域の1,223人のITおよびサイバーセキュリティの意思決定者を対象に2022年に実施されました。日本における対象者は24人
- 回答者が所属する業種は、テクノロジー(28%)、製造業(12%)、金融(10%)など多岐にわたります。
関連リソース
◆Cybersecurity Skills Gap Report 2022版のより詳細な情報は、以下の ブログ (英文)も併せてご参照ください. https://www.fortinet.com/blog/industry-trends/global-cybersecurity-skills-gap-report-findings
◆フォーティネットの各種トレーニングプログラム等の詳細は、以下のURLをご参照ください
- NSE(Network Security Expert)プログラム https://www.fortinet.com/jp/support/training/network-security-expert-program
- フォーティネット ネットワーク セキュリティ アカデミー (FNSA) https://www.fortinet.com/jp/support/training/fortinet-network-security-academy
- 認定トレーニングセンター(英文)https://www.fortinet.com/support/training/learning-center
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2022/fortiguard-labs-reports-ransomware-continues-relentless-more-destructive
フォーティネットについて
フォーティネット(NASDAQ: FTNT)は、あらゆる場所で人、デバイス、データを保護するというミッションを通じて、常に信頼できるデジタルワールドを実現します。これが、世界最大の企業、サービスプロバイダー、政府機関が、デジタルジャーニーを安全に加速させるためにフォーティネットを選択する理由です。フォーティネットのセキュリティファブリックのプラットフォームは、データセンターからクラウド、ホームオフィスまで、重要なデバイス、データ、アプリケーション、接続を保護し、デジタルのアタックサーフェス(攻撃対象領域)全体にわたって幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)保護を提供します。セキュリティアプライアンスの出荷台数では世界で最も多く出荷している第1位であり、565,000以上のお客様がビジネスを守るためにフォーティネットを信頼しています。また、フォーティネットのTraining Advancement Agenda(TAA)の取り組みであるFortinet NSE Training Instituteは、業界最大級かつ最も幅広いトレーニングプログラムを提供し、誰もがサイバー関連のトレーニングや新しいキャリアの機会を得られるようにすることを目的としています。詳しくは、https://www.fortinet.com/jp、フォーティネットブログ https://www.fortinet.com/jp/blog、またはFortiGuard Labs https://www.fortinet.com/jp/fortiguard/labs、Twitter https://twitter.com/FortinetJapan、Facebook https://www.facebook.com/FortinetJapan/をご覧ください。
Copyright© 2022 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiCare、FortiManager、FortiAnalyzer、FortiOS、FortiADC、FortiAP、FortiAppMonitor、FortiASIC、FortiAuthenticator、FortiBridge、FortiCache、FortiCamera、FortiCASB、FortiClient、FortiCloud、FortiConnect、FortiController、FortiConverter、FortiDB、FortiDDoS、FortiExplorer、FortiExtender、FortiFone、FortiCarrier、FortiHypervisor、FortiIsolator、FortiMail、FortiMonitor、FortiNAC、FortiPlanner、FortiPortal、FortiPresence、FortiProxy、FortiRecorder、FortiSandbox、FortiSIEM、FortiSwitch、FortiTester、FortiToken、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLCOS、FortiWLMなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。