プルーフポイント、「2021 Voice of the CISO」日本語版を発表:世界のCISOの3分の2がサイバー攻撃対策の準備ができていないと感じていることが明らかに

Cloud Security

調査回答者の58%はヒューマンエラーが組織へのサイバー攻撃に対する最大の脆弱性と考え、ハイブリッドな働き方がサイバーセキュリティチームに新たな課題をもたらしている

サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社:東京都港区、代表取締役社長:茂木正之、以下プルーフポイント)は本日、「2021 Voice of the CISO (CISO 意識調査レポート)」の日本語版を発表しました。本レポートは、これまでとまったく違ったパンデミックの1年間を経て、世界の最高情報セキュリティ責任者(CISO)が直面している主要な課題を調査したものです。CISOの66%は、自分の所属する組織がサイバー攻撃に有効な対策の準備ができていないと感じており、58%はヒューマンエラーがサイバー攻撃に対する最大の脆弱性であると考えています。またパンデミックによって必要となった在宅勤務の働き方が、CISOにかつてない課題をもたらしていることが明らかになっています。

 

概要

今回の「Voice of the CISO」レポートは、多様な業界の中規模から大規模の組織に所属する1,400人以上のCISOから寄せられたグローバルな第三者調査の回答を分析したものです。また、2021年第1四半期中に14カ国(米国、カナダ、英国、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、アラブ首長国連邦(UAE)、サウジアラビア、オーストラリア、日本、シンガポール)の各市場で、それぞれ100名のCISOにインタビューを行いました。

本調査では次の3つの主要分野を分析しています:

  • CISOが日々直面するサイバー攻撃の脅威と種類
  • サイバー攻撃に対する従業員や組織における対策の準備状況
  • 企業がオフィス再開に向けて準備を進める中でハイブリッド型の働き方をサポートすることの影響

加えて、CISOがその役割において直面する課題、Cクラス(経営幹部レベル)の中での地位、チームに対するビジネス上の期待についても取り上げています。

プルーフポイントの「2021 Voice of the CISO」レポートでは、グローバルなCISOコミュニティの一般的な傾向と国別の違いに注目しています。本レポートの日本における調査結果をグローバルの調査結果(平均値)との比較を含めながら、以下紹介します。

 

日本における主な調査結果:

CISOは多様な脅威に警戒

日本のCISOの63%は、今後1年間に重大なサイバー攻撃を受ける危険性があると感じています。想定している攻撃の種類は、「メール詐欺(ビジネスメール詐欺)」(42%)、「DDoS攻撃」(36%)、「クラウドアカウント侵害(M365またはG suiteなど)」(34%)が上位を占めました。次いで、「内部脅威」が32%、「フィッシング」が26%となっています。最近のニュースで取り上げられることの多いランサムウェアは24%で7位、サプライチェーン攻撃は19%で最下位でした。「メール詐欺(ビジネスメール詐欺)」はグローバルのCISOの回答でも1位(34%)であり、最も警戒されている攻撃の種類です。

組織のサイバー対策は依然として大きな懸念事項

脅威の状況を一変させたパンデミックから1年以上が経過しましたが、日本のCISOの64%は、2021年においても標的型サイバー攻撃への対策の準備ができていないと感じています。また、サイバーリスクも増加傾向にあります。日本のCISOの70%は、2020年よりも2021年にサイバー攻撃を受けた場合の影響を懸念しており、これはグローバルのCISOより17%多い結果となっています(※図1)。

従業員の意識が行動の変化につながるとは限らない

日本のCISOの71%は、従業員がサイバー脅威から組織を守る役割を担っていることを理解していると考えており、これはグローバルのCISOより13%多い結果となっています。一方で、日本のCISOの65%は、依然としてヒューマンエラーが組織のサイバー攻撃に対する最大の脆弱性であると考えています(※図2)。日本のCISOは、従業員がビジネスを危険にさらす最も可能性の高い方法として、悪意のあるリンクをクリックすること、危険なファイルをダウンロードすること、安全なパスワードを使用していないこと(パスワードを変更しない、または再利用する)、フィッシングメールの被害に遭うことを挙げています。

長期にわたるハイブリッド型の働き方はCISOにとって新たな課題

日本のCISOの61%は、リモートワークによって組織が標的型サイバー攻撃に対してより脆弱になったと考えており、54%は過去12ヶ月間に標的型の攻撃が増加したと回答しています。これはグローバルのCISOの58%が標的型の攻撃が増加したと回答した状況と類似しています。

ハイリスク・ハイリターンが今後2年間の共通のサイバーテーマと予想

日本のCISOの71%は、サイバー犯罪は攻撃者にとってさらに収益性の高いものになると考えており、67%はサイバー犯罪者にとってよりリスクの高いものになると考えています。グローバルではそれぞれ63%、60%と、日本より若干低い結果となっています。

CISOは攻撃者の先を行くためにサイバーセキュリティ戦略を適応させる意向

世界のCISOの大多数は、今後2年間でサイバーセキュリティの予算が11%以上増加すると予想しており、日本のCISOの68%は、2023年までにサイバー攻撃に対する対応力と回復力が向上すると考えています。日本のCISOが今後2年間に優先的に取り組むべきことは、「セキュリティオートメーションの導入」(36%)、「リモートワーク移行のための新ソリューションへの投資」(33%)、「セキュリティ業務のアウトソーシング」(31%)となっています。

2020年はCISOの役割に対する企業からの期待が高まった

日本のCISOの58%は、自分たちの役割に対する期待が過剰であると考えています。また、取締役会からのサポートが十分でないと見られ、サイバーセキュリティの問題について取締役会と意見が一致していると強く感じている日本のCISOは、わずか28%にとどまっており、その状況はグローバルのCISOの回答にも共通で見られます。

 

調査結果グラフ

図1 : 2020年よりも2021年にサイバー攻撃を受けた場合の影響を懸念している

(日本は2位で70%のCISOが「そう思う」と回答)

2020年よりも2021年にサイバー攻撃を受けた場合の影響を懸念している

 

図2 : ヒューマンエラーが組織のサイバー攻撃に対する最大の脆弱性であると思う

(日本は5位で65%のCISOが「そう思う」と回答)

ヒューマンエラーが組織のサイバー攻撃に対する最大の脆弱性であると思う

 

調査結果に対する考察

日本プルーフポイント株式会社 サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。
「昨年、世界中のサイバーセキュリティ担当者は、、リモートワークへの移行対応をおこないながら、ビジネスを中断させないようにしつつ、かつセキュリティも担保しなければならないという難しい状況に直面しました。仕事の仕方の柔軟性が増す中で、この課題にこの先も対処し続ける必要があります。CISOは増加する攻撃対象領域を防護しつつ、長期的なリモートワークやハイブリッド型の働き方において従業員を教育する必要もあります。さらに顧客や社内のステークホルダー、市場に対して、こうした取り組みを継続的におこなえる組織であるとの信頼感を与えなければなりません。本レポートからは、CISOがやむことのない攻撃にどのように対峙し、リスクを軽減するためにどのようなツールを必要としているのか、そして、パンデミック中に組織が経験したような刻々と変化する状況に対応するために、人を中心としてセキュリティを構築するPeople-Centricアプローチをとる必要があることを学ぶことができます。」

 

「2021 Voice of the CISO」レポート (日本語版) は以下リンクよりダウンロードしてください:
https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report

サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください:
https://www.proofpoint.com/jp/products/security-awareness-training

 

Proofpoint | プルーフポイントについて

Proofpoint, Inc.(NASDAQ: PFPT)は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jpにてご確認ください。

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。

 

本件に関する報道関係者からのお問い合わせ先

バーソン・コーン&ウルフ・ジャパン
担当:中根/樫村
TEL: 070-4504-0784/070-4504-0794
Email:proofpointJP@bcw-global.com