CompTIA（コンプティア）は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。

企業はセキュリティがますます重要なものであると認識する一方で、その多くは旧式の方策やトレーニングをもってサイバー攻撃に対抗する防御姿勢であることがCompTIAの調査で明らかとなった。

「Evolution of Security Skills（セキュリティスキルの進化）」調査では、攻撃者に悪用される前にウィークリンク（弱点）を特定するため、先を見越した対策を講じるよう指摘している。それには、既存プロフェッショナルのセキュリティスキルの拡大、組織全体に渡るセキュリティトレーニングの実施が必須だ。

「強固な防御を築くことはもはや現実的ではなく、すべての違反・侵入を阻止しようというメンタリティは時代遅れといえます。しかし、テクノロジー、プロシージャ（手順）、教育を組み合わせた新しく積極的なアプローチは、攻撃者が発見する前に問題領域を見つける上で有効となります。」CompTIAのテクノロジーアナリスト、シニアディレクタのRobinsonは言う。

組織にとっての課題の一つは、彼らが最も理解しているサイバー攻撃を何よりも重視するという傾向があることだ。最も古いサイバー攻撃の形である、マルウェアとウイルスが多く注目されてしまう。

「これらの脅威に警戒する必要があるのは間違いないのですが、壊滅的な結果をもたらす他の多くの攻撃形態が現れていてるのも事実です。」

CompTIAの調査では、大半の企業がランサムウェア、DoS攻撃、ソーシャルエンジニアリング、IoTベースの攻撃、SQLインジェクションの対象になることに軽度な懸念をあげていることが分かった。

「多くの企業がクラウドコンピューティングやモバイルデバイス、その他振興テクノロジーに向かいながらも、それに付随するセキュリティへの影響を十分に考慮していないのは明らかです。まずは、今日存在する多くの脅威に対する認識と理解を得ることが、脅威管理における第一歩となります。」Robinsonは言う。

また、企業は徐々にディフェンスからオフェンスに焦点を移していることが分かった。米国企業350社の事業およびテクノロジーエグゼクティブを対象にしているCompTIAの調査では、企業の29％がセキュリティの取り組みに非常に積極的であり、検出と対応（Detection and Response）を重視していると回答。34%は、いくつかの事前対策により強固なサイバー防御を取っていると回答している。

「強固な防御は常にその役割を果たしますが、外部監査や侵入テスト、その他の事前対策と結び付けて行われる必要があります。」Robinsonは忠告する。

ヒューマンファクター（人為的要因）
トレーニング（調査対象企業の60%）および認定資格（48％）が、テクノロジープロフェッショナルのための高度なセキュリティ専門知識を高める方法として採用されている。トレーニング実施の後に認定資格を採用する組織は、高い信頼性、知識の証明を提供し、空いたポジションに対する人材の配置が容易となる。

また企業は、エグゼクティブ層から中間管理職、そして一般従業員まで、セキュリティを意識した文化を育てることの必要性をより理解している。調査によると、企業の58％が、新入社員オリエンテーションでセキュリティトレーニングを提供しているという結果であった。46％がランダム監査を実施。35％が実践のハンズオンを採用している。


「Evolution of Security Skills（セキュリティスキルの進化）」調査は、2016年10月米国企業350社のワークフォースプロフェッショナルを対象に行われたオンラインサーベイが基となる。完全なレポートは、CompTIA Insight & Toolsより無償で取得が可能。