中小・中堅企業(SMB)は、若くて勢いがあり、変革を推進する存在です。新しいテクノロジーの導入に積極的で、ビジネスの変革をリードしています。これは、エンジニアリング、自動化、AIの分野に当てはまりますが、セキュリティについてはどうでしょうか。
Oktaの「SMBs at Work 2024」レポートでは、今日のSMBのデジタル環境の変化を探ります。1万8,000社以上の匿名データに基づき、Okta Integration Networkで数千ものアプリケーションをどのように採用しているかを分析して、成長中の企業がどのようにアプリケーションを活用してトレンドを作り出しているかを詳しく解説しています。
このレポートに関する最初のブログでは、全体的なトレンドを取り上げました。今回は、データを掘り下げ、「SMBがセキュリティに投資しているのか」、そして(投資している場合は)「どのように行っているのか」という2つの複雑な質問に答えていきます。
SMBはセキュリティに投資しているのか?
SMBもセキュリティに投資しています。従業員50人以下の小規模企業でも、ユニークユーザー数の増加が顕著で、前年比61%の成長(全体平均は18%)が見られました。今年、SMBはビジネスのコンプライアンスとセキュリティの確保に積極的に投資しています。
今年最も急成長したツールのうち、実に半数がコンプライアンスとセキュリティの分野のツールです。たとえば、Drata(前年比91%増)やVantaなどの上位にランクしたコンプライアンスツール、トップ10に返り咲いたパスワードマネージャーのKeeper(同87%増)、ネットワークセキュリティソリューションのTailscale(同72%増)やPerimeter 81(同64%増)などが含まれます。
SMBはなぜセキュリティに投資しているのか?
SMBがセキュリティへの支出を増やしているのは、主に2つの理由によると考えられます。生成AIテクノロジーにより強化または考案された、より高度なサイバー脅威が出現していることが大きく報じられています。そのために、巧妙なソーシャルエンジニアリングやフィッシング攻撃を利用してSMBを標的にするハードル(およびコスト)が低くなっています。
生成AIの登場により、経験の浅い犯罪者でも、高度な攻撃手法やツール(簡単なコード生成から音声のクローン化まで)を利用できるようになっています。SMBは、大企業のようなインフラストラクチャ、予算、専門のサイバーセキュリティスタッフを持たないケースが多く、攻撃者から容易な標的と見なされがちです。
しかし、全体として、格好の標的となっているSMBを含め、現代のどのビジネスにとっても、セキュリティはますます大きな懸念事項となっています。データ侵害のコスト(財務、評判、規制対応)が増加し続ける中、SMBは追加の保護を導入する必要があります。
SMBはどのようにセキュリティを強化しているのか?
Oktaの調査によると、SMBは主として3つの方法でセキュリティに投資しています。
- 多様化によりセキュリティレイヤーを追加する
- より優れた多要素認証(MFA)を導入する
- パスワードを廃止する
これらの各領域で、SMBは大企業よりもはるかに速いペースでセキュリティに投資しています。
セキュリティの多様化
MFAは重要ですが、それだけでは不十分です。Oktaのデータによると、SMBはMFAをサポートするために多様なセキュリティ投資を行っています。包括的で多面的なセキュリティ戦略(ゼロトラストやBeyondCorpのような多層防御アプローチ)の採用により、SMBは全体的なサイバーレジリエンスを高め、複数の側面でリスクを軽減しています。
DrataやVantaなどのツールに牽引され、最も投資が伸びているセキュリティ分野はコンプライアンスの自動化であり、SMBでは前年比143%の成長を遂げました(全体平均では63%増)。仮想プライベートネットワーク(VPN)やファイアウォールソリューションなど、SMBのネットワークセキュリティの利用率は市場平均に影響を与えるほど高くなっています。
ネットワークセキュリティの利用は、全体では前年比12%増加しました。しかし、企業規模別に見ると、SMB(前年比14%増)と小規模企業(同25%増)が成長を牽引していることがわかります。従業員数500人以上の企業では、前年比で9%の成長にとどまっています。
全体として、ネットワークの安全性は引き続き最も人気のあるセキュリティツールであり、2020年からこの状況が続いています。リモートワークを導入しているSMBにとっては、従業員と企業のネットワークの接続を暗号化して保護することが依然として最優先事項となっており、VPNの価値が特に高くなっています。ファイアウォールは、悪意のあるトラフィックや、マルウェア、ウイルス、ネットワークに侵入または侵害しようとするサイバー脅威からの防御を強化します。
しかし、重要なのはツールだけではありません。今年、教育とセキュリティトレーニングソリューションが最も成長しているセキュリティカテゴリとなっていることから、SMBが従業員とインフラストラクチャの両方への投資が重要であることを認識していることが示唆されています。
MFAの導入(および保証レベルの低い要素からの脱却)
MFAと保証レベルが高い要素の利用は、どの規模の組織でも前年比2桁の成長を記録しています。しかし、強力な認証要素についてみると、SMBは俊敏な先駆者的存在となっており、安全性の低い要素から安全性の高い要素へと、大企業よりも速いペースで移行しています。
生体認証要素は、非営利団体(前年比40%増)、小売(同36%増)、専門職サービス(同32%増)、医療/製薬(同26%増)で力強い成長を見せています。デバイス組み込みの指紋認証テクノロジーの普及が変化の一端を担っている可能性がありますが、SMBは認証の強化に向けて、要素の保証レベルの向上を迅速に生かしています。
パスワードレス化
ここまで読み進めてきた皆さんは、パスワードの問題をすでに認識されていることでしょう。パスワードは面倒でコストがかかり、漏洩した認証情報を利用してアカウントを侵害しようとする攻撃者にしか好まれません。
セキュリティキーと生体認証は、昨年、ユニークユーザー数で158%成長し、顧客数は前年比で25%増加しました。すべての認証方式が同等ではなく、業界がより安全性の高いオプションに移行する中、「知っていること」だけでなく、「知っていること」と「持っているもの」と「本人の属性」の組み合わせが求められるようになっています。
パスワードレスの採用を業種別に見ると、採用増加の状況と理由についてヒントを得られます。
パスワードレス認証を導入しているのは、大部分がテクノロジー業界とファイナンス業界
パスワードレス化を主導しているのはテクノロジー業界の企業であり、これにファイナンス/銀行業界が続いています。テクノロジー業界では、これらの認証全体の32%が生体認証を使用しています(依然として、規模を問わないテクノロジーユーザー全体の平均である27%より高くなっています)。こうした高い数字は驚くべきことではありません。どちらの業界も貴重な機密データを保有しており、攻撃の主要ターゲットとなっています。また、厳しい規制を受ける傾向があり、厳格なコンプライアンスルールにより、サイバーセキュリティ戦略の一環として高保証の認証が義務付けられています。
小売業界も生体認証を広範に導入
小売業界は、大量の現金、機密性の高い財務情報や個人情報、POSシステムでの支払いを管理するために、シームレスで安全な高保証要素による認証を必要としています。したがって、この業界の生体認証の割合が37%に達しているのも当然でしょう。パスワードやパスワードリセットを排除することは、従業員の入れ替わりが多く迅速なオンボーディングプロセスが求められる企業にとってもメリットとなります。
非営利団体はアカウントの生体認証利用率が最も高い
非営利団体は、全体としてのユーザー数はあまり多くありませんが、パスワードレスの採用率は45%と顕著に高くなっています。ここでも、生体認証システムが安価に利用可能になっている状況が反映されている可能性があり、大規模で継続的な費用をかけずに保護を強化する必要があるSMBにとって、費用対効果の高いセキュリティ対策となっています。
SMBのトレンドの総括
変化する市場やテクノロジーを活用できる俊敏性に優れた企業のトレンドに注目することで、将来の標準となる可能性のある革新的なプラクティスに関して潜在的な洞察を得ることができます。SMBのトレンドは、以下のポイントにまとめることができます。
- ゼロトラストの原則に従った多面的な戦略により、セキュリティ投資を多様化することで成功を実現している。
- 教育、コンプライアンス、ネットワークセキュリティを含む複数の分野でセキュリティを強化している。
- パスワードや知識ベースの要素を排除して、生体認証のような高保証(かつパスワードレス)の要素に移行している。
詳細情報
ここで紹介したトレンドと比較して、貴社のセキュリティ戦略はどのように前進していますか。SMBのトレンドの詳細は、「SMBs at Work 2024」レポート全文をご確認ください(オンラインで閲覧可能)。
セキュリティまたは Identity の道のりがビジネスをどこに導くかにかかわらず、知識はあなたの強みです。時間を節約し、中小企業に関する詳細なトピックを理解するには、中小企業向けの Okta ホームページをご覧ください。
