過去2年間、ブラジル企業はデジタルトランスフォーメーションのプロセスを強化し、クラウドコンピューティング、人工知能(AI)、自動化などのソリューションを採用して効率性と機動性を向上させました。 問題は、これらの新しい技術を導入することで、企業も新たな脆弱性に対処しなければならなくなることです。 最近の四半期では、ブラジルでサイバー incidentの増加が顕著に見られました。 Check Point Researchが発表したレポートによると、2024年第3四半期にブラジル企業は平均して週に2,766回の攻撃を受けており、これは2023年の同じ期間と比べて95%増加しています。
この攻撃の急増は、イノベーションとセキュリティの格差を明らかにしている。 多くの企業はパンデミック中およびパンデミック後にクラウドのデジタルプロジェクトを加速させましたが、すべてが同じペースで防御を強化したわけではありません。 その結果、2023年には大企業の83%が少なくとも1回の深刻なサイバー攻撃を受け、計画外の停止、財務損失、データ漏洩を引き起こしました。
企業防衛の強化に加えて、私たちはまだ成熟したガバナンスプロセスを持っているとは言えません。 データによると、ブラジルのデータガバナンスのない組織の割合は80%に達する可能性があります。
イノベーション対安全性:私たちは脆弱性を拡大しているのか?
サイバーセキュリティへの投資やガバナンスの構築は依然として控えめですが、イノベーションへの競争は昨年、IT予算の増加を記録しました:2023年から2024年にかけて、ブラジルのIT市場は13.9%成長し、世界平均を上回り、586億ドルに達しました。 投資の優先事項には、クラウドインフラの近代化、ビジネスプロセスのデジタル化、生成AIの導入が含まれていました。
従来のセクター、例えば銀行業界はイノベーションへの投資をリードしており、銀行やフィンテック企業はクラウドやAIに多額の投資を行い、モバイルバンキングやデジタル決済を提供しています。 一般的に、ブラジル企業は2023年と2024年に収益の約9.4%を情報通信技術(ICT)に充てました。 ゲチュリオ・ヴァルガス財団(FGV)は、この割合が今後2〜3年で11%に上昇すると見込んでおり、組織が引き続きイノベーションと近代化に投資し続ける限り。
一方、その国はサイバー犯罪で世界で2番目に攻撃された国となり、12ヶ月間で7億以上の攻撃を受けました(1分あたり1,379回の攻撃!)。 2024年だけで、ブラジル国内で3兆5600億件のサイバー攻撃の試みがあり、これは警鐘を鳴らす状況であり、世界中で繰り返されている。
世界的に攻撃の記録が更新され、2024年には75%以上増加しました。この現象は、一部にはサイバー犯罪者がAIを利用して攻撃を自動化し、より高度にすることに起因しています。 大量のカスタマイズされたフィッシング、適応型マルウェア、より強力なDDoSは、悪意のある人工知能によって強化された脅威の例です。
脆弱性も新たな形で増加しています。ある調査によると、ブラジル企業の57%がすでにAIを使ってソフトウェアコードを生成しており、世界で3番目に高い割合です。 逆説的に、これらの組織の44%は、AIによって生成されたコードを主要なセキュリティ懸念としており、自律的なソフトウェア生成による予期しない障害や脆弱性の導入を恐れている。 APIは、システムやアプリケーションを統合するために不可欠なものであり、もう一つの盲点です。ブラジルの企業の半数以上(52%)が、公開されたAPIに高いリスクを感じています。 要するに、イノベーションを促進する一方で、アジャイルDevOps、クラウドへの大規模移行、接続されたデバイスの広範な使用、AI主導の開発などの取り組みは、攻撃のベクトルと環境を保護するための複雑さを増大させている。
問題は、イノベーションが必ずしもデジタルセキュリティの向上とともに進むわけではないということです。 多くの企業がサイバーセキュリティにおいてより革新的になり、防御のためのソリューションを増やしているにもかかわらず、その段階はまだ初期段階です。 昨年、マーケッツ・イノベーション&テクノロジー研究所(MiTi)とセキュリティデザインラボ(SDL)は、サイバーセキュリティに関する業界調査を発表し、181のブラジル企業の成熟度を評価しました。 調査によると、改善が見られるものの、サイバーセキュリティの成熟度の平均レベルは53%であり、依然として中程度である—前年の49%からの進展ではあるが。
この数字は、多くの企業が依然として推奨される最良の実践よりも低いことを示しています。 例えば、企業の53%は重要なシステムをログインとパスワードだけで認証しており、これは時代遅れの方法です。一方、24%はサイバーセキュリティに専用の予算を持っておらず、27%は定期的なペネトレーションテストを実施していません。 これらの数字は、投資が増加している一方で、政策、文化、ガバナンスの面でまだ重要なギャップが存在することを示しています。
ガバナンス:イノベーションとともに、サイバー耐性を高めることができる
ガバナンスとコンプライアンスの成熟度と、企業がサイバーインシデントに耐える能力や成功裡にイノベーションを推進する能力との間には明確な相関関係がある。 データは、良好なGRC(ガバナンス、リスク、コンプライアンス)実践を持つ組織が、より少ない影響を受け、デジタルトランスフォーメーションプロジェクトでより良い結果を得ていることを示唆しています。
例えば、MiTiとSDLによって行われた同じ調査では、38%の企業がインシデント対応計画を持っておらず、46%が災害復旧計画を持っていないというデータも示されました。 これらの数字は懸念されるものであり、効果的な緊急対応計画の欠如は、攻撃が発生した際に被害を長引かせ、悪化させる傾向があります。
対照的に、リスクを予測し安全に投資する企業は具体的な利益を得ています。 PwCのグローバル調査によると、企業のわずか5%だけが本当にセキュリティをイノベーションの中心に置き、CISOの仕事をプロジェクトの開始時から統合している。 そしてまさにこれらの企業はデータ侵害の件数が少なく、攻撃を受けた場合でも被害コストが低いという事例です。
つまり、新しいITイニシアチブの設計段階からガバナンスとセキュリティを導入することで、新しいプロジェクトがデジタル攻撃面を拡大せず、企業をさらに脆弱にせずに運用開始される可能性が高まる。 ガバナンスがないと、ビッグデータ、人工知能、デジタルトランスフォーメーションの取り組みは失敗するリスクや、情報の不適切な使用や脆弱なシステムなど望ましくない結果を生む可能性があります。
より成熟したガバナンスを持つ企業は、顧客や規制当局の要件を満たすことが容易であり、新しい市場への参入やイノベーションパートナーシップを可能にします。 一方、コンプライアンスの欠如はプロジェクトを停滞させる可能性があります。例えば、LGPDに対応せずに個人データを扱う革新的なソリューションを開発すると、法的および評判上の障害に直面します。 したがって、堅固なコンプライアンスとセキュリティの体制は、ステークホルダーの信頼を高め、責任ある持続可能なイノベーションの促進を可能にします。
要するに、ガバナンスとセキュリティはイノベーションに対して敵対的ではなく、むしろ持続可能なイノベーションの基盤として機能します。 委員会、方針、対応計画を整備している企業は、サイバー予期せぬ事態に対処しやすく、ビジネスの成長に集中できる。 これらの戦略的要素を無視するものは、より中断や財務損失、緊急対応の必要性にさらされることになり、結果としてイノベーションに充てることができた投資を遅らせたり、別の方向に向けたりすることになる。 数字は証明している:ガバナンス、コンプライアンス、安全性の成熟は、技術的な事業のより高いレジリエンスと成功と密接に関連している。 これらの側面を整えることができる企業は、インシデントからより良く保護されるだけでなく、ますますデジタル化が進むブラジル市場で自信と持続可能性を持って革新し、競争優位を獲得することもできるでしょう。
