サイバーセキュリティへの支出を増やしても効果が上がらないのは何故なのか?

新しい技術が導入される度に、サイバー脅威は急速に進化し、指数関数的に増加することが何年も前からわかっています。ビジネスが今日の世界で生き残るためには、これらの新技術を活用することが重要ですが、それは同時に攻撃者が悪用できる新たな手段を提供することにもなるのです。リモートワークやハイブリッドワークが一般的になった現在、組織にとっての攻撃対象はかつてないほど広いものになっており、特にランサムウェア攻撃の増加に直面して、リスクを確実に低減することを目的とするセキュリティ部門にとって新たな障害が多数発生しています。

当然ながら、多くの企業はこれらの課題に対処するために、より多くの予算と時間を割り当てるようになっています。Menlo Securityの2022 Cyberthreat Defense Reportによると、今年一般的なITセキュリティ予算は5%増加するとされています。しかし、より多くの予算を使ってより多くのセキュリティ対策を導入することは、はたして解決策になるのでしょうか? どうも、そうではなさそうなのです。Dell’Oro Groupが実施した調査によると、企業のネットワークセキュリティへの支出が増加するにつれて、サイバー攻撃に関連する金銭的損失も増加していることが明らかになりました。これは、世界中のセキュリティ部門を悩ませ続けている、現代のサイバーセキュリティにおける難問です。

Dell’Oro GroupのリサーチディレクターのMauricio Sanchez氏と、Menlo Securityのサイバーセキュリティ戦略担当シニアディレクターのMark Guntripによる最近のディスカッションでは、この議論についてさらに掘り下げて説明しています。以下に紹介するディスカッションでは、特にランサムウェア攻撃の成功につながるHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）に直面した場合、なぜセキュリティに費用をかけるだけでは組織をこれ以上保護できないのか、2人がその理由を解説しています。