Gartner & XM Cyber：セキュリティツール導入だけでは不十分、61%の組織が設定ミスによる侵害を経験

2025年5月9日14:22

サイバーセキュリティニュース

Last Updated on 2025-05-09 14:22 by admin

セキュリティリーダーの61%が、過去12ヶ月間に設定ミスや機能しなかったセキュリティ管理により侵害を受けたと報告している。これは平均43のサイバーセキュリティツールを導入しているにもかかわらず発生している。

この記事は2025年5月8日にThe Hacker Newsに掲載されたもので、XM CyberのプロダクトマーケティングディレクターであるDale Fairbrotherによって寄稿された。

Gartnerが発表した「Reduce Threat Exposure With Security Controls Optimization（セキュリティ管理の最適化による脅威露出の削減）」というレポートによると、「技術的セキュリティ管理の設定ミスが攻撃成功の主な原因となっている」とされている。

この問題の具体例として、Blue Shield of Californiaの事例が挙げられている。この事案では、ウェブサイトの設定ミスにより、470万人のメンバーの個人データがGoogle Adsを通じて漏洩した。

記事では、セキュリティ管理の効果を高めるためには、単なる技術的な調整以上のものが必要だと強調している。組織は思考様式、日常業務、チーム連携方法を変化させ、セキュリティチーム、資産所有者、IT運用、ビジネスリーダー間のより強力なパートナーシップを構築する必要がある。

また、成果主導型メトリクス（ODM）や保護レベル契約（PLA）などの方法で、セキュリティ管理が実際に機能しているかを測定することの重要性も指摘している。

セキュリティ管理は静的なものではなく、脅威が進化しビジネスが変化するにつれて定期的な調整が必要であり、継続的な最適化が日常の一部となるべきだと結論づけている。

References:
Security Tools Alone Don’t Protect You — Control Effectiveness Does

【編集部解説】

この記事は、XM CyberのDale Fairbrother氏が寄稿した内容で、セキュリティツールの単なる導入だけでは組織を保護できないという重要な問題を指摘しています。Blue Shield of Californiaの事例も事実であり、ウェブサイトの設定ミスにより470万人の会員情報が漏洩したことが確認されています。

多くの組織が「ツールを導入すれば安全」という思い込みに陥っていますが、実際には設定や運用が適切でなければ、高価なセキュリティツールも無力になってしまいます。

特に注目すべきは、セキュリティリーダーの61%が過去12ヶ月間に設定ミスや機能しなかった管理により侵害を受けたという統計です。平均43ものセキュリティツールを導入しているにもかかわらず、このような高い侵害率が報告されているのは衝撃的です。

クラウドインフラストラクチャやAIシステムの普及により、セキュリティ環境は常に変化しています。静的な防御策では、進化し続ける脅威に対応できません。

日本企業にとっても、この教訓は重要です。多くの日本企業がDX（デジタルトランスフォーメーション）を推進する中で、セキュリティツールへの投資を増やしていますが、それらのツールが効果的に機能しているかを継続的に検証する文化はまだ十分に根付いていません。

今後、日本を含む世界中の組織は、セキュリティツールの「所有」から「効果的な運用」へと焦点をシフトさせる必要があるでしょう。セキュリティ投資の成功は、導入したツールの数ではなく、それらが実際の脅威からどれだけ効果的に組織を守れるかによって測られるべきです。