CISO(Chief Information Security Officer / 最高情報セキュリティ責任者)にとって2021年は、破壊的な大規模サイバー攻撃が多数発生し、組織が厳戒態勢に置かれた困難な1年でした。新型コロナウイルスのパンデミック開始から2年が経過し、各企業や組織はニューノーマルに適応しつつあります。しかしコロナ禍の影響で、Great Resignation (大量退職時代)がはじまり、また同時にロシアによるウクライナ侵攻などの地政学的な緊張が高まる中、CISOが懸念すべき事項はますます多くなりました。
サプライチェーンからのリスク、重要インフラに対するサイバー脅威の高まり、さらにセキュリティ人材不足の深刻化などの課題がある中、セキュリティのリーダーであるCISOはどのように対処しているのでしょうか。プルーフポイントは、CISOの考え方を理解するために、世界14か国の1,400人のCISOを対象に調査を行い、彼らの考えと知見を第二回目となるCISO 意識調査レポート「2022 Voice of the CISO」にまとめました。予想外の結果もありましたが、全体としてCISOが組織のセキュリティ対策に自信を深めていることがわかり、勇気づけられるものとなりました。
サイバー脅威が拡大し続け、少ないリソースで効果的に対応しなければならないというプレッシャーの中、「今後12ヶ月間に自分の組織が重大な攻撃を受ける危険性があると感じている」CISOの割合は昨年度の64%から、今年度は48%に減少しました。これは、新型コロナウイルスのパンデミックによるテレワークへの一通りの対応が完了し、CISOの自信にあらわれていると考えられます。2020年にパンデミックへの対応と、新しいニューノーマルにおける防御の強化を実施した結果、サイバー脅威が猛威を奮い続けている中でも、新しいセキュリティのレベルを保っているのです。
今年度、「今後1年間に組織に影響を与える最大のサイバーリスク」としてグローバルのCISOに考えられている脅威は「内部脅威」となりました。昨年度の第3位から順位をあげた形となります。日本においても同様に内部脅威が1位となりました(図1参照) 。人間の行動が、過失や不注意であれ、悪意をもった犯罪であれ、組織内でデータ損失や情報漏えいを引き起こす「人」の脆弱性が注目されているためでしょう。さらに、グローバルCISOの56%が「自組織の最大のサイバー脆弱性はヒューマンエラーである」と考えています。
図1: CISOが自分の組織または業界が受けるサイバーセキュリティ上の最大脅威として認識しているもの
ランサムウェアによる大規模なサイバー攻撃がニュースを賑わす中、経営陣のサイバーリスクに対する意識は高まり、ランサムウェアは組織にとっての重要課題へと押し上げられました。世界のCISOの58%がサイバー保険に加入しており、5人に3人が検知・対応戦略よりも防止に重点を置いています。しかし、リスクが高まっているにもかかわらず、CISOの42%は、身代金支払いに関するポリシーを策定していないことを認めています。
CISOの役割の変化
良いニュースとしては、経営陣がサイバーリスクをさらに強く認識するようになったことから、CISOの重要性が認識されていることです。今年調査したCISOのうち、「自らの役割に対する期待が過剰である」と考えるCISOは49%で、昨年2021年の57%から減少しました。
今回の調査では、情報保護対策と従業員へのサイバーセキュリティ啓蒙教育が、依然としてCISOの今後の最優先事項の最上位にあることがわかりました。CISOの戦略的役割が高まるにつれ、CISOは組織のリスク管理においてより大きな役割を果たすことができるようになっています。本レポートでは、CISOがより大きな脅威と同様に大きな責任を伴う新時代を受け入れ、その仕事に情熱を持ち続けていることを示しています。
2022年版「Voice of the CISO Report」の全調査結果については、https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report より全文をダウンロードしてご覧ください。