世界各国のボードメンバーの約半数が、サイバーセキュリティを重要視しているものの、サイバー攻撃への備えができていないと感じていることが明らかに

サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、学際的研究コンソーシアムのCybersecurity at MIT Sloan（CAMS）との共同リサーチで、「Cybersecurity: The 2022 Board Perspective」の日本語版、「取締役会におけるサイバーセキュリティの展望2022」を発表しました。本レポートは、企業の上層部（ボードメンバー）におけるサイバーセキュリティに関わる主要な課題とリスクに関する認識について調査したものです。回答者の77%は、サイバーセキュリティが取締役会における最優先事項だと考えており、76%は少なくとも月に1度はこのテーマについて議論しています。その結果、回答者の75%は取締役会が組織の直面する”システミック・リスク”を明確に理解していると考え、76%がサイバーセキュリティに対して適切な投資を行っていると述べています。

しかし、楽観視はできません。今回の調査では、ボードメンバーの65%（世界平均）が、今後1年間で所属する組織が重大なサイバー攻撃を受けるリスクがあると考えていることが明らかになりました。また、半数近くの47%は、標的型攻撃に対処するための準備が整っていないと感じています。さらに、世界経済フォーラムの調査によると、サイバーセキュリティに関するインシデントの95%はヒューマンエラーによるものであるにもかかわらず、ボードメンバーの67%しかヒューマンエラーを最大のサイバー脆弱性であると考えていないことがわかりました。

調査概要：

「取締役会におけるサイバーセキュリティの展望2022」では、世界 12か国 (日本、英国、米国、カナダ、フランス、ドイツ、イタリア、スペイン、オーストラリア、シンガポール、ブラジル、メキシコ) において、従業員 5,000 名以上の組織のボードメンバー 600 名を対象に調査を依頼しました。また、各市場において、50名のボードメンバーへ面談が行われました。MIT Sloan の研究コンソーシアム、Cybersecurity at MIT Sloan (CAMS)と連携して、回答を分析し、得られた知見をまとめました。さらに、また、結果の一部を、最近実施した Voice of the CISO レポートの調査結果と比較しました。

本調査では次の３つの主要分野を分析しています：

• 脅威状況に関する取締役会の視点
• サイバーセキュリティ体制と取締役会
• CISO（最高情報セキュリティ責任者）の取締役会との関係を検討する

プルーフポイントが「2022 Voice of the CISO (CISO意識調査レポート)」で明らかにしたCISOの考えに基づき実施された本調査の結果、サイバーリスク、結果、脅威において、ボードメンバーとCISOの間に大きな認識のずれがあることが判明しました。

「取締役会におけるサイバーセキュリティの展望2022」では、世界的なトレンドに加え、業界や地域による差異が浮き彫りになっています。本調査について、日本における回答をグローバル全体の回答（平均値）と比較した主な結果は以下の通りです。

日本における主な調査結果：

• 巧妙なサイバー犯罪者がもたらすリスク評価に対し、取締役会とCISOの間に憂慮すべき認識のずれがある：
  今後1年間に自らの組織が重大なサイバー攻撃を受けるとの意見に同意すると回答した日本のボードメンバーは72%（世界平均：65％）で、日本のCISOの回答は38%（世界平均：48%）でした。

• 日本では、ボードメンバーとCISOが直面する脅威に対してやや異なる懸念を持っている：
  日本のボードメンバーの38％は、「クラウドアカウント侵害」を最も懸念しており、次いで「DDoS攻撃」が34%、「内部脅威」が32%となっているのに対し、日本のCISOは、最も懸念する脅威として「内部脅威」、「スミッシング/ビッシング攻撃」、「ランサムウェア攻撃」を挙げています。一方、世界平均値として、ボードメンバーの最大の懸念事項は「メール詐欺/ビジネスメール詐欺（BEC）」で41％、次いで「クラウドアカウント侵害」が37％、「ランサムウェア攻撃」が32％となっています。また、世界のCISOは、「メール詐欺/BEC」や「クラウドアカウント侵害」も最も懸念していることの１つですが、「内部脅威」を最大の脅威と捉えているのに対し、世界の役員は「内部脅威」への懸念は低いと評価しています。

• サイバーインシデントにおける最大の懸念事項について、ボードメンバーとCISOには意見の相違がある：
  日本のボードメンバーの懸念事項のトップは「業務評価への影響」で40％、次いで「内部データの流出」が32％でした。これらの懸念は、日本のCISOが「オペレーションの中断」や「風評被害」についてより懸念しているのとは対照的です。一方、世界平均は、ボードメンバーの懸念事項のトップが「内部データの流出で37％、次いで「風評被害」が34％、「売上の損失」が33％となっています。世界のCISOの懸念事項は、「長時間のダウンタイム」（37%）、「オペレーションの中断」（36%）、「業務評価への影響」（36%）で、いずれも対照的な結果となっています。

• 従業員だけの意識が高くてもヒューマンエラーは防げない：
  日本のボードメンバーの74%（世界平均：67%）は、ヒューマンエラーが最大のサイバー脆弱性であると回答しており、サイバーセキュリティに果たす「人」の重要性を強く認識していることを示しています。また、日本のボードメンバーの74%（世界平均：76%）は、「従業員が脅威から組織を守る役割」ということを理解しているものの、コントロール、境界防御、テクノロジーだけでは、十分とは言えません。 成功したサイバー攻撃の 82% は、人の要素が関わっています。統計は、多くのサイバー攻撃は、いくつかの種類のヒューマンエラーに起因して起きることを示しています。つまり、ボードメンバーを含め、組織の従業員全員が、注意すべき事柄や、疑わしいメール、リンク、Web サイトに出くわしたときの対処方法を、認識しなければなりません。

• ボードメンバーは、規制面で協力的：
  日本のボードメンバーの80%は、組織が合理的な期間内に重要なサイバーインシデントを政府に報告するように求められるべきだと考えています。これに同意しないのは、わずか6%のボードメンバーだけでした（世界平均：同数値）。これは、報告を控えるよりも、報告した方が、評判を落とし罰金や訴訟の可能性が高まる、という従来の常識とは全く対照的で、この調査結果は、ボードメンバーが規制に協力的であることを示しています。

• 「認識と資金」は「準備体制」には結びつかない：
  日本のボードメンバーの82%（世界平均：75%）は、ボードメンバーが組織のシステミック・リスクを理解していると回答していますが、サイバー脅威が組織に与える影響についてのボードメンバーの見解は、その影響を十分に理解していないことを示唆しています。82%（世界平均：76%）のボードメンバーがサイバーセキュリティに適切な投資を行っていると考え、78%（世界平均：75%）はデータが安全に保護されていると考えています。さらに、日本のボードメンバーの76%（世界平均76%）は少なくとも毎月サイバーセキュリティについて話し合っていると回答している一方、72%（世界平均：47%）は今後12ヶ月間に自分の組織がサイバー攻撃に対処する準備ができていないと考えており、これらの取り組みは不十分と考えられます。これは、調査対象国の中で最も高い数値を示しています。

• ボードメンバーとCISOの関係は、注意と改善が必要:
  日本のボードメンバーの61%（世界平均：69%）がCISOと意見が一致していると回答している一方で、CISOの52%（世界平均：51%）のみが同じように感じています。ボードメンバーとCISOは、この認識のずれを埋めることができます。取締役会は、サイバーセキュリティを議題にするための対策を取る必要があります。一方、CISOは、ビジネスを優先した方法で、懸念事項や提言を伝えなければなりません。
   

調査結果に対する考察 

プルーフポイントの専任情報セキュリティ最高責任者 (CISO)、Lucia Milică（ルシア・ミリカ）は次のように述べています。「サイバーセキュリティがようやく取締役会における会話の焦点になったことは心強いことです。しかし、本レポートは、取締役会が脅威の状況を理解し、重大なサイバー攻撃に備えるには、まだ長い道のりがあることを示唆しています。取締役会がこれに対応し準備を強化する方法の1つは、ボードメンバーとCISOが同じ見解を持つことです。取締役会とCISOの関係は、人とデータの保護に不可欠であり、組織の成功のために、それぞれがより効果的なコミュニケーションと協力的な取り組みに向けて努力する必要があります」

Cybersecurity at MIT Sloan（CAMS）のエグゼクティブディレクター、Dr. Keri Pearlson（ケリ・パールソン博士）は次のように述べています。「ボードメンバーは、組織に対して、受益者責任と監督責任を負っています。そのため、組織が直面するサイバーセキュリティの脅威と、サイバーレジリエンスを高めるために、組織が取るべき戦略を理解しなければなりません。ボードメンバーは、組織における役割上、サイバーセキュリティ体制に大きな影響を与えることができます。この報告書は、ボードメンバーがこの責任を真剣に受け止めていることを示しています。セキュリティの優先順位を上げれば、会話は進めやすくなります。けれどボードメンバーとCISOが同じ言葉を話し、同じ目標を共有していなければ、その会話は限られたものでしかありません。組織の保護とレジリエンスを改善する上で、両者が優先順位について連携を深めれば、非常に効果があるでしょう。ボードメンバーは、組織のリスクを最小化し、サイバーレジリエンスを高めるという、共通の目標に対して協力し合うために、CISOと戦略的なパートナーシップを構築する機会を見つけなければなりません」

「取締役会におけるサイバーセキュリティの展望2022」（日本語版）は次のリンクよりダウンロードしてください：https://www.proofpoint.com/jp/resources/white-papers/board-perspective-report

また、プルーフポイントのCISOハブ（www.proofpoint.com/us/ciso-hub）は、洞察、調査、トレンド、テクニカルリソース、ツール、今後のイベントなど、CISOレベルのコンテンツを提供するホームです。毎月、CISOの役割に関連するタイムリーなトピックを取り上げています。

Cybersecurity at MIT Sloan (CAMS)について

Cybersecurity at MIT Sloan (CAMS) (サイバーセキュリティ MIT スローン) は、MIT (マサチューセッツ工科大学)の Sloan School of Management (スローン経営大学院) に本拠を置く学際的な研究コンソーシアムです。CAMS は、MIT やその他研究機関の各部門から集まった研究者との協力で、サイバーセキュリティに関する戦略、経営、業務の問題に焦点をあてた学際的な研究手法を通じ、すべての組織におけるサイバーセキュリティの改善という、重要なニーズに取り組んでいます。CAMS には、MIT の教授陣、研究者、学生に加え、産業界や政府からオピニオンリーダーが集まっています。この研究コンソーシアムでは、調査結果や実行可能な知見を、研究発表論文、大きな影響力を持つ経営的な媒体や、さまざまな会議、ワークショップ、カンファレンスや教育関連の活動を通じて発表します。CAMS の研究については、Harvard Business Review、Sloan Management Review、The Wall Street Journal、The New York Times、その他多くの出版物にてご確認いただけます。CAMS のメンバー ( 研究を支援し、また研究成果を最初に閲覧する) に含まれる企業は、さまざまな業界にわたり、金融、エネルギー、化学、医療、産業オートメーション、製造、情報サービス、ガス、公益事業、その他があります。詳細は、https://cams.mit.edu をご覧ください。

Proofpoint | プルーフポイントについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の75%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。

Twitter | LinkedIn | Facebook | YouTube

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。