ここ1年は、その前の数年間に起きたような大事件は起こらなかったかも知れませんが、世界の情報セキュリティ最高責任者(CISO)にとっては、穏やかな年とはかけ離れたものでした。 テレワークやハイブリッドワークへの対応が一般的に求められるようになったことで、多くの企業にとってかつてないほど攻撃対象領域が広がっています。また同時に、サイバー脅威の頻度は増え、より巧妙になり、与える被害も大きくなっています。
転職する従業員も記録的なレベルで増加しました。退職時にデータを持ち出す従業員もいます。また、生成AIやすぐに使える既製のツールの登場により、わずか数ドルで誰でも壊滅的な脅威を引き起こすツールを手に入れることができるようになっています。プルーフポイントの「Data Loss Landscape(情報漏えいの全容)」レポートの第1号によると、不注意な従業員が、企業の情報漏えいの最大の原因となっています。
サイバーリスク状況において、引き続き難題だらけのこの1年を、CISOはどう乗り切ろうとしているのでしょうか。プルーフポイントは、世界の1,600人のCISOを対象に調査を行い、その役割および今後2年間の展望をお聞きしました。 今年は、複雑なサイバーセキュリティ慣行についてより豊富な知見を得るために、1,000人以上の従業員を擁する組織を調査対象としました。
CISOが抱く懸念は高まりながらも準備はより整っている
記録的な従業員離職率、ますます巧妙になるサイバー攻撃、そしてクラウド技術への依存の高まり。これらの要素に駆り立てられるように、多くのCISOが、脅威状況を綿密に把握しようと努めています。3分2以上(70%)が、今後1年の間に自社にサイバー攻撃のリスクがあると感じています。これは2023年の68%、2022年の48%から上昇しています。
しかし、サイバー攻撃に対するリスクへの懸念があるにもかかわらず、多くのCISOは自社には脅威の影響に対処できるだけの能力がある、と回答しています。 半数未満(43%)が、標的型サイバー攻撃に対し準備が整っていないと考えており、これは2023年の61%、2022年の50%から減少しています。
サイバー脅威と対峙する準備が整っている、と考えるCISOが増加傾向にあるのは、心強いことです。しかし、CISOの70%が、攻撃が差し迫っていると考えていること、そして半数近くが、その攻撃に対処する準備ができていない、という現実を、冷静に受け止める必要があります。
「人」は変わらず最上位の懸念に
今年は、ランサムウェア、メール詐欺、内部脅威、クラウドアカウント侵害など、数多くの脅威がCISOを悩ませています。しかし、CISOを最も不安にさせているものは従業員です。
CISOのほぼ4分の3(74%)が、ヒューマンエラーが最大のサイバー脆弱性であると考えており、2023年の60%、2022年の56%から上昇しています。さらに多く(80%)が、人的リスクと従業員の不注意が今後2年においてサイバーセキュリティ上の主な懸念になると考えています。
プルーフポイントの調査によると、CISOは全般的に、自社の従業員はサイバー脅威から会社を守る自己の役割を自覚している、と考えています。とはいえ、こうしたCISOは、従業員を主なリスク要因であるとも考えていることから、従業員のサイバー脅威に対する理解と、サイバー脅威に対処する能力との間には、隔たりがあることがわかります。
- CISOの74%が、ヒューマンエラーが最大のサイバー脆弱性であると考えています。
- 86%が、従業員がサイバー脅威から会社を保護する役割を自覚していると考えています。半数近く(45%)がこれに強く同意しています。
- 41%が、ランサムウェア攻撃が今後1年の間に企業にとって最上位の脅威となると考えています。
CISOはプレッシャーを感じている
CISOは近年、取締役会における自身のポジションを不動なものにしています。その役割は問題の解決にとどまらず、ビジネス戦略にも影響を与えるようになっています。その結果、経営幹部陣と見解が一致しているCISOが増加しています。
しかし、このような地位の向上に伴って、CISOの責任は高まり、プレッシャーが重くのしかかっています。半数以上が、この1年で燃え尽き症候群を経験した同僚を知っている、または自身が経験したと述べています。さらに多くが、CISOの役割に対する期待が過剰になっていると回答しています。
- CISOの84%が、取締役会と見解が一致していると回答しており、2023年の61%から大幅に上昇しています。
- CISOの53%が、この1年で燃え尽き症候群を経験したか、目にしています。
- CISOの66%が、CISO/セキュリティ最高責任者(CSO)への期待が過剰であると感じており、2023年の61%、2022年の49%、2021年の21%から確実に上昇しています。
フルレポートを入手する
CISOに対する最新のグローバル調査の結果とその分析については、プルーフポイントの「2024 Voice of the CISO」レポートをご参照ください。