解説
中東では、驚くべき速さでデジタル変革が進んでいます。ドバイ、リヤド、アブダビが世界的なイノベーションハブとしての地位を確立しようと努める中、ハイテク多国籍企業はこの地域に多額の投資を行っている。
しかし、このデジタル化の進展にはサイバー攻撃のリスクも増大しており、中東中の企業は油断しているとサイバー攻撃にさらされる危険にさらされています。
中東諸国のデジタル成長のペースは、この地域のサイバーセキュリティ人材をはるかに上回っており、組織は致命的な危険にさらされています。一部の企業はサイバーセキュリティ対策を大手テクノロジー企業とそのツールにアウトソーシングすることに頼っていますが、この手作業によるアプローチにはリスクが伴います。
中東は現在、正面から射程内に位置している。 AI によってサイバー攻撃が活発化する中、堅牢なサイバーセキュリティ防御がこれまで以上に重要になっています。企業はアウトソーシングから脱却し、ツールベースのアプローチに投資し、社内の採用、スキルアップ、人材保持の実践を大いに活用することで、強力な社内防御の構築に注力する必要があります。
自分自身の成功の犠牲者?
ドバイ、アブダビ、サウジアラビアなどの場所は商業的な成功を収めているため、サイバー犯罪の潜在的な温床となっています。中東諸国に対する分散型サービス妨害(DDoS)攻撃は過去1年で75%増加しており、UAEとサウジアラビアがその矢面に立たされている。
UAEだけが周囲の犠牲者になる 1 日あたり 50,000 件のサイバー攻撃。それには代償が伴います。2023 年には、サイバー攻撃により企業、組織、公共団体が損害を受けることになります。 1件あたり800万ドル以上。
サイバー攻撃の増加は、サイバー犯罪情勢のパターンの変化によってさらに悪化します。 AI の台頭により、ハッカー志望者の参入障壁が低くなり、初心者のスキルを持つ者でも本格的な攻撃を実行できるようになりました。一方で、DDoS レンタルなどのサービスを提供するサービスとしてのサイバー犯罪 (CaaS) の普及により、脅威アクターはサイバー攻撃を開始する意図だけを必要とするようになりました。このサイバー犯罪の新時代では、意志があれば方法はあります。
現在、中東全域で見られるサイバーセキュリティのスキルギャップにより、企業は悪者にさらされ、脆弱になっています。 EMEA 地域の企業の半数以上が、サイバーセキュリティ侵害の原因はスキルとトレーニングの不足にあると考えています。 ビジネス リーダーの 70% は、スキルが不足していると考えています。 企業が対処しなければならない追加のサイバーセキュリティ リスクが多数発生します。
AI がアウトソーシングされたセキュリティ方程式を混乱させる
あまりにも多くの企業が、次のような手段でこの人材不足を補おうとしています。 サイバーセキュリティをアウトソーシングする 第三者に。米国のような国が脅威アクターの主な標的であったときにはこれは効果的であったかもしれませんが、現在はそうではありません。
AI を活用したサイバー攻撃の台頭により、サイバーセキュリティをアウトソーシングしている企業が必ずしも対処できるとは限らない、新たな脅威が数多く発生しています。 AI により、脅威アクターによるサイバー攻撃の実行が容易になっただけでなく、攻撃自体もより高度になり、より悪意のあるものになりました。
AI で強化されたマルウェアはよりステルス性が高く、IT インフラストラクチャの侵害を検出することが困難になります。自動化されたフィッシング攻撃により、悪意のある攻撃者はより多くの潜在的な被害者をターゲットにすることができますが、フィッシング攻撃自体はターゲットに合わせて高度に調整されています。
中東の企業、特に UAE とサウジアラビアの企業がサイバーセキュリティ対策を万全にすることが重要です。リスクも移転するという前提でサイバーセキュリティをアウトソーシングすることはできません。代わりに、脅威を効果的かつタイムリーに特定し、対応し、対処できる強力な社内サイバーセキュリティ チームを構築することで、サイバーセキュリティ対策に積極的なアプローチをとらなければなりません。
サイバーセキュリティを社内に導入することで、外部委託した防御に依存した場合に発生する可能性のある、応答時間の遅さなどのリスクが軽減されます。代わりに、社内のサイバーセキュリティ チームがビジネスのセキュリティ フレームワークの状況を正確に把握し、ビジネスの詳細を徹底的に理解することで、脅威に迅速に対応できるようになります。
しかし、これを達成するには、企業は中東のスキルギャップを埋めるために新規および既存の IT 人材に多額の投資を行う必要があり、これは雇用と維持の実践に特に焦点を当てて行われるべきです。
人材プールが小さいと維持が難しい
世界中の組織の半数以上が次のように述べています。 サイバーセキュリティの経験を持つ候補者の採用に苦戦している。サイバーセキュリティ人材の雇用の難しさは、サイバーセキュリティ人材の確保の問題によってさらに悪化し、雇用主を雇用と再雇用の悪循環に陥らせます。デジタル経済がまだ発展していない中東では、これが特に懸念されます。人材プールは有限であり、企業は有望な従業員を失うわけにはいきません。
これに対抗するために、中東の企業は中東および世界中の大学から輩出される新鮮な人材に注意を向けるべきである。大学と提携し、魅力的な大学院制度を提供することで、企業はサイバーセキュリティの有望な人材があふれる密集した人材プールを活用できます。
卒業生は学ぶことに熱心で、会社の精神に合わせようとするため、社内に専任のサイバーセキュリティ チームを構築しようとしている企業にとって理想的な選択肢となっています。
企業にとっては、見習い制度への投資も選択肢のひとつです。より実践的ではありますが、企業は候補者をゼロからトレーニングし、候補者のスキルと知識が企業のサイバーセキュリティのニーズと確実に一致するようにすることができます。
学習と能力開発を促進する必要がある
この才能を維持することは、最初から彼らを参加させることと同じくらい重要です。競争力のある給与や望ましい福利厚生などの通常の定着戦略に加えて、企業は従業員のキャリアを通じて継続的な学習と能力開発 (L&D) の機会に多額の投資を行う必要があります。
不十分なトレーニング、またはトレーニングがまったく行われていないことは、確実に従業員を失うことになります。逆に、 従業員の 94% が、L&D に投資した雇用主ともっと長く働きたいと回答。サイバーセキュリティのような急速に変化し、継続的に発展する業界では、L&D が特に重要です。
サイバーセキュリティ従業員向けのトレーニング セッションや開発コースに投資することで、従業員は脅威とセキュリティ環境の変化を常に最新の状態に保つことができます。そしてその過程で、従業員は会社が自分のスキルや能力を開発する機会を与え、経験豊富なサイバーセキュリティ専門家に仕上げてくれていると感じるでしょう。
サイバーセキュリティ戦略としてのスタッフへの投資は、サイバーセキュリティ スタッフで始まり、サイバーセキュリティ スタッフで終わるべきではありません。全社的なサイバーセキュリティ スキル向上プログラムの導入は重要な第一歩であり、サイバーセキュリティ侵害の背後にある最大の原因の 1 つを排除する簡単な方法です。 人的ミス。最も堅牢なシステムであっても、過失、認識不足、または単純なミスが脆弱性や侵害につながる可能性があります。スキルアップは、このリスクを軽減するために企業が取るべき重要なステップです。
中東におけるサイバー攻撃の割合が増加しているため、企業はデータ侵害や DDoS 攻撃の次の大きな被害者になるまで座して待っているわけにはいきません。
企業はサードパーティのサイバーセキュリティ対策だけに頼ることはできず、包括的な社内防御を構築する必要があります。企業は今すぐ行動を起こし、サイバーセキュリティ人材への投資を倍増し、将来有望な大学院生の人材に特に配慮する必要があります。
