eSecurity Planetは8月8日(米国時間)、「Cybersecurity Training and Tech Aren't Enough; 'Culture Change' Needed|eSecurityPlanet」において、社内のサイバーセキュリティ文化を変える必要性があると伝えた。企業はサイバー犯罪者からネットワークやデータを守るために、サイバーセキュリティ製品に途方もないコストを費やしているが、社内のサイバーセキュリティ文化を変えなければその投資は無駄になると説明されている。

Cybersecurity Training and Tech Aren't Enough; 'Culture Change' Needed|eSecurityPlanet

Cybersecurity Venturesは、2025年までに世界のサイバーセキュリティ支出総額は1兆7500億ドルという驚異的な規模を超えると予想。2022年には同分野の投資額が15%増加すると予測している(参考「Global Cybersecurity Spending To Exceed $1.75 Trillion From 2021-2025」)。

また、PwCの「2022 Global Digital Trust Insights」レポートによると、サイバーセキュリティに対する支出動向は衰える気配がないことが明らかとなっている。調査対象組織の69%が、2022年のセキュリティ支出の増加を予想している(参考「The C-Suite guide to simplifying for cyber readiness, today and tomorrow: PwC」)。

しかしながら、セキュリティの専門家であるPeter Carpenter氏およびKai Roer氏は、サイバー犯罪者にシステムに侵入されるのは脆弱で悪用されやすい労働者をビジネスリーダーが見過ごしているからと指摘している。そして、サイバー脅威に対する最善の防御は、組織のセキュリティ文化にあると述べている。

彼らは、セキュリティ意識を高めるだけでは不十分であり、組織はセキュリティを文化に組み込む必要があると指摘している。Carpenter氏は、技術に基づく防御によって組織への侵入が非常に困難になったため、サイバー犯罪者は目的を達成するために人間をだますことにますます目を向けるようになったと分析。テクノロジーによる防御と同様に、人間による防御の構築に投資を行うことを推奨している。

Verizonのレポートによると、すべての侵害の82%が人的要素に関連していることが明らかとなっている。今日の高度なサイバー犯罪者は、システムの最も弱い部分である従業員をターゲットにしているため、組織は引き続き攻撃にさらされることになる。そしてこれらの弱点は、セキュリティ文化を強化することによってのみ強化できるとされている(参考「2022 Data Breach Investigations Report | Verizon」)。