Dynatrace、年次調査レポート「2024年アプリケーションセキュリティの現状」を発表　～セキュリティチームと経営幹部の連携不足により、組織のサイバーリスクが増大～

統合型オブザーバビリティ（可観測性）およびセキュリティ分野のリーダーであるDynatrace（NYSE: DT、日本支社：東京都千代田区、日本支社代表執行役社長：徳永 信二）は、年次調査レポート「2024年アプリケーションセキュリティの現状」を発表しました。

本調査レポートは、1,300名のCISO（最高情報セキュリティ責任者）を対象とした世界的な調査*と、従業員1,000名以上の企業のCEO（最高経営責任者）およびCFO（最高財務責任者）を対象とした10回にわたるインタビューに基づくものです。　

*1,300名のうち、日本の回答者は100名

Dynatraceは、オブザーバビリティとセキュリティに対する統合的なアプローチによって、組織内の効果的なコラボレーションとリスク低減にどのように貢献するかを深く理解するため、コミュニケーション齟齬について調査しました。

 

本調査では、組織が社内コミュニケーションの障壁に苦戦しており、それがサイバーセキュリティの脅威への対応を妨げていることが判明しました。調査結果によると、CISOはセキュリティチームと経営幹部との連携を図ることが課題だと認識しており、サイバーリスクに対する理解について齟齬が生じていることが明らかになっています。これにより、AIによる攻撃が増加している昨今、組織が高度なサイバー脅威にさらされることになります。

主な調査結果は次の通りです：

• 経営幹部と取締役会の連携不足がサイバーリスクをもたらす： CISOはセキュリティチームと経営幹部の連携に課題を感じており、CISO の 87% が、「アプリケーションセキュリティがCEOおよび取締役会レベルの盲点である」と回答しています。

• セキュリティチームのコミュニケーションが技術的すぎる：インタビューに応じた経営幹部のうち10名中7名が、「セキュリティチームはビジネス上の背景を説明せず、技術的な用語を用いて説明する」と回答しています。しかし、CISOの75%は、「この問題の根源は、経営幹部や取締役会がビジネスリスクを理解し、脅威を防ぐために使用できるインサイトを提供しきれていないセキュリティツールにある」と指摘しています。

• AIがより高度なサイバー脅威を引き起こす： AI主導の攻撃やサイバー脅威の増加により、ビジネスリスクが拡大する中、テクノロジーとコミュニケーションの齟齬に対処することがますます重要になっています。

このような背景から、CISO の72%が、「過去 2 年間に自社の組織がアプリケーションセキュリティ・インシデントを経験した」と回答しています。このようなインシデントは重大なリスクを伴うものであり、CISOは「収益への影響（47％）」、「規制上の罰金（36％）」、「市場シェアの喪失（28％）」などを自社が経験した、と強調しています。

Dynatraceの創業者兼CTOであるBernd Greifenederは、次のように述べています。
「サイバーセキュリティ・インシデントは、組織とその顧客に壊滅的な結果をもたらす可能性があるため、取締役会レベルの重要な懸念事項となっています。しかし、多くのCISOは、ビットやバイトの単位の話のみに終始してしまい、具体的なビジネスリスクまで話を広げることができず、セキュリティチームと上級管理職の連携を図ることに苦労しています。CISOは、このようなコミュニケーションの障壁を克服して、サイバーセキュリティに対する責任を共有する組織文化を築く必要があります。このことは、セキュリティインシデントに効果的に対応し、リスクの可能性を最小化するうえで極めて重要です」

その他の調査結果は次の通りです：

• AIの台頭により組織が新たなリスクにさらされる中、セキュリティチームと経営幹部との緊密な連携を促進する必要性が高まっています。CISOは、サイバー犯罪者がAIにより新たなエクスプロイトを迅速に作成し、より大規模に実行できるようになる可能性を懸念しています（52％）。また、開発者がAIを利用し、より少ない監視体制でのソフトウェアの提供加速が、さらなる脆弱性をもたらすことについても危惧しています（45％）。

• 解決策を模索する中で、CISOの83%が「AIによってもたらされる脆弱性のリスクを管理するには、DevSecOpsの自動化が重要である」と回答しています。さらに、CISOの71％は、「アプリケーションのセキュリティリスクを最小化するための適切な対策を実行するには、DevSecOpsの自動化が不可欠である」と回答しています。

• さらにCISOの77%は、「XDRやSIEMソリューションなどの既存ツールでは大規模な自動化を推進するために必要なインテリジェンスが不足しているため、複雑なクラウドを管理できない」と回答しています。また、CISOの70%は、「複数のアプリケーションセキュリティツールが必要になることで、異なるデータソースを理解することに時間がかかるため、業務効率が低下する」と回答しています。

Greifenederはさらに次のように述べています。
「AIの利用拡大は諸刃の剣であり、デジタル革新者と防御を突破しようする者、両方の効率性を向上させます。一方では、テストが不十分なAI生成コードを通じて開発者が脆弱性を持ち込むリスクが高まり、他方では、サイバー犯罪者が脆弱性を利用して自動化されたより高度な攻撃を開発する可能性があります。さらに問題となるのは、重要なサイバーセキュリティ・インシデントの発生について4営業日以内に開示することを上場企業に義務付けるSEC（米国証券取引委員会）規則など、新しい法律や規制にも準拠する必要があります。組織は、最新かつ高度なサイバー脅威からアプリケーションとデータを保護するために、セキュリティツールと実践方法を最新化する必要に迫られています。私たちは、高度なDevSecOpsの自動化を推進し、AIを活用してあらゆる規模の分散データを処理する統合プラットフォーム上に、最も効果的なアプローチを構築しようと考えています。これらのプラットフォームは、ビジネス全体で共有できるインサイトを提供する能力を備えることになり、法律および規制遵守に役立てることができます」

 

なお、本調査の回答者1300名のうち、日本の回答者は100名でした。日本の調査結果からは、グローバルでの調査結果と同様、アプリケーションリスクが盲点になっているといった課題や、DevSecOpsの自動化の重要性がうかがえる結果となりました。

• 64%のCISOが、「サイバーセキュリティリスクとコンプライアンスの状況をCEOや取締役会に定期的に報告する必要がある」と回答。

• 76%のCISOが、「自社のセキュリティツールは、CEOや取締役会がビジネスリスクについて理解し、脅威を排除するためのインサイトを生み出す力に限りがある」と回答。

• CISOが考える組織におけるサイバーセキュリティ管理の最優先事項:

　　1 — アプリケーションセキュリティ（例：脆弱性管理）

　　2 — 危機管理および対応（例：データ漏洩およびメディア対応）

　　3 — 内部リスク管理／監督（例：モバイルデバイスの利用）

• 73%の組織において、「過去2年間にアプリケーションセキュリティ事故が発生したことがある」と回答。

  88%のCISOが、「CEOや取締役会レベルにおいて、アプリケーションセキュリティが盲点になっている」と回答。

• 77%のCISOが、「SECのサイバーセキュリティ義務化や、NIS2、DORAなどの新しい規制に対応するために、DevSecOpsの自動化が不可欠である」と回答。

•  84%のCISOが、「AIにより生み出される脆弱性リスクを管理するためにDevSecOpsの自動化がさらに重要である」と回答。

• 78%のCISOが、「複数のアプリケーションセキュリティツールを利用しているため、DevSecOpsの自動化を推進することが難しい」と感じている。

•  「自社において、十分にDevSecOpsの自動化を実践している」と回答したCISOはわずか15%に留まる。

 

調査レポートの詳細（英語版）は、「2024年のアプリケーションセキュリティの現状： CISO、CEO、取締役会の緊密な連携を推進する必要性」より、無料でダウンロードすることができます。

調査は、1,300名のCISOを対象とした世界的な調査と、従業員1,000名以上の企業のCEOおよびCFOを対象とした10回にわたるインタビューに基づくもので、Dynatraceの委託を受けたColeman Parkesによって、2024年3月から4月に実施されました。

※この資料は、米国マサチューセッツ州で2024年5月2日に発表されたプレスリリースの抄訳に、日本の回答者から得られた傾向を追加したものです。

Dynatraceについて

 Dynatrace (NYSE:DT)は、世界中のソフトウェアを完璧な状態で運用するために存在します。Dynatraceの統合プラットフォームは、広範で深いオブザーバビリティ（可観測性）と継続的なランタイムアプリケーションセキュリティをDavis® ハイパーモーダルAIと組み合わせ、膨大なデータから得られる“答え”とインテリジェントオートメーションを提供します。企業のイノベーションを支援、クラウド運用の近代化（モダナイゼーション）と自動化を実現し、より迅速かつ安全にソフトウェアを提供して、完璧なデジタル体験を可能にします。世界有数の大手企業が、Dynatrace ®プラットフォームを信頼し、デジタルトランスフォーメーションの推進のために活用しています。詳細についてはこちら（ https://www.dynatrace.com/ja/ ）をご覧ください。