CIO CSO 2024 カンファレンスでは、情報セキュリティに関する考え方の変化が共有されました。これは、いかなる企業や組織も安全性を確信できない状況において、世界およびベトナムにおける情報セキュリティの状況に大きな変化があることを示す画期的なメッセージであると考えられています。

情報セキュリティは選択ではなく必要条件である

イベントの開会にあたり、情報通信省情報セキュリティ局の代表者は、情報セキュリティ規制の実施はもはや選択ではなく必須であると断言した。

この警告は、情報セキュリティ規制は完全であるものの、多くの企業や組織が依然として主観的であり、リスクに対応する準備が十分に整っていないという状況で発せられました。

一方、サイバー犯罪者の活動はますます活発化しており、ベトナムを市場として捉えるようになっている。実際、大規模な家庭用ユニットが攻撃を受け、数百万ドルの損害が発生しており、他の多くのユニットも規則違反で罰金を科せられています。

この問題を明らかにするために、Viettel Cyber​​ Security（VCS）のディレクターであるNguyen Son Hai氏は、サイバー犯罪者の標的が拡大している現実について語った。大規模で財政的に強力な企業は、ある程度の防御能力を備えているため、もはやハッカーにとって唯一の優先ターゲットではありません。ハッカーたちは現在、情報セキュリティに注力していない中小企業という「ソフトターゲット」にターゲットを拡大している。そして利益を最大化するために大規模な攻撃を仕掛けるでしょう。これにより、あらゆる企業が世界クラスのハッカー グループの潜在的なターゲットになります。

VCS の代表者は、攻撃は現在、データや資産を盗むだけでなく、業務運営を妨害することも目的としていると評価しました。通常、データ暗号化攻撃（ランサムウェア）は APT 標的型攻撃と組み合わされ、少なくとも 10 TB のデータが暗号化され、国内企業は 500 万ドル以上の支払いを強いられ、同時に、当初侵害を受けた数十の企業は言うまでもなく、評判や資産に深刻な影響を被ります。

攻撃者が活動する中、企業は情報セキュリティを実装する際に多くの課題に直面しています。この非対称性から、サイバー攻撃を受ける可能性は避けられない客観的現実となり、企業は新たなアプローチを取る必要があるとハイ氏は考えています。

「これまでは攻撃を防ごうとしていましたが、今は攻撃が成功した場合に何が起こるかを想定しなければなりません。それをカバーするソリューションが必要です。それはサイバーレジリエンスを最適化することであり、最終的な目標は組織や企業の継続的な運用を維持することです」とハイ氏は語った。

情報セキュリティへの投資は継続的なビジネスパフォーマンスを保証します

VCS のディレクターは、数百の国内ユニットの実際の実装プロセスを通じて、情報技術および情報セキュリティのリーダーが頻繁に直面する課題を理解しています。当時、解決すべき3つの大きな課題は、人材、投資効率、コスト最適化でした。

情報セキュリティ人材は常に不足しており、優秀な人材は大企業でもわずか5%しか確保できないケースがほとんどです。 VCS の専門家からのアドバイスは、既存のスタッフのトレーニングとパートナーとの連携を組み合わせてリソースを補充し、24 時間 365 日の監視チームを構築することです。

投資効率に関しては、ハイ氏は、投資の成果だけではなく成果指標で測定する必要があると示唆した。 「これまでの目標は、できるだけ多くのインシデントや攻撃を防ぐことでした。しかし、現在はビジネスの継続性を確保することが究極の目標です」とハイ氏は強調した。

最後に、VCS のリーダーによると、コストを最適化するには、一貫した方向にやり方を変えることに加えて、専門性を高めて投資の分散を避けるために適切なパートナーを見つける必要があるとのことです。

企業の情報セキュリティ パートナーには、製品サプライヤーや情報セキュリティ サービス プロバイダーなどが挙げられます。しかし、単独で行う場合、これらのパートナーは包括的な戦略を提供できず、組織を深く理解していないことが多く、パートナーにかかるコストが膨れ上がり、制御が困難になることもあります。

これは、過去 2 年間にわたり VCS がサイバー セキュリティ成熟度プログラム (CSMP) を開発し、管理および測定指標を確立して長期的なパートナーになることを目指し、ビジネスのライフサイクルに沿ってコストを管理および最適化し、情報セキュリティにおけるビジネスの成熟を支援し、効果的で継続的な運用を確保する理由でもあります。