日本において最大のサイバーセキュリティ脅威として認識されているのは内部脅威

調査回答者の56%はヒューマンエラーが組織へのサイバー攻撃に対する最大の脆弱性と考え、
ハイブリッド型の働き方がサイバーセキュリティチームに新たな課題をもたらす

サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は本日、「2022 Voice of the CISO (CISO意識調査レポート)」の日本語版を発表しました。本レポートは、世界の最高情報セキュリティ責任者（CISO）が直面している主要な課題を調査したものです。世界中のCISOにとって、2021年は新しい働き方への対応に取り組んだ1年でしたが、今ではCISOの多くが環境をコントロールできるようになったと感じており、今後12カ月間に自分の組織が重大なサイバー攻撃を受けるリスクがあると回答したCISOは48％と、昨年の64%より大きく減少しています。

しかし、サイバー攻撃への準備ができていると感じることは、パンデミックという大きな出来事を乗り越えられたことによるものであって、リスクレベルや備えに明確な変化があったためではありません。本レポートでは、世界のCISOの５０％は、標的型のサイバー攻撃に対処するための準備がまだ整っていないと感じていることが明らかになっています。また、５６％はヒューマンエラーを最大のサイバー脆弱性であると考えており、ハイブリッド型の働き方の定着や大量退職が情報保護に関する新たな課題となっていることも判明しました。

調査概要：

「2022 Voice of the CISO」レポートでは、多様な業種の中規模から大規模の組織に所属する1,400人以上のCISOから寄せられたグローバルな第三者調査の回答を分析しました。また、2022年第1四半期を通じて14カ国（日本、米国、カナダ、英国、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、アラブ首長国連邦（UAE）、サウジアラビア、オーストラリア、シンガポール）の各市場で、100名のCISOにインタビューを実施しました。

本調査では次の３つの主要分野を分析しています： 

• CISOが日々直面する脅威リスクとサイバー攻撃の種類
• 従業員や組織におけるサイバー攻撃への対策の準備状況
• 企業がオフィス再開に向けて準備を進める中でハイブリッド型の働き方をサポートすることの影響

加えて、CISOがその役割において直面する課題、Cクラス（経営幹部レベル）の中での地位、チームに対するビジネス上の期待についても取り上げています。

プルーフポイントの「2022 Voice of the CISO」レポートでは、グローバルなCISOコミュニティの一般的な傾向と国別の違いに注目しています。本レポートの日本における調査結果をグローバルの調査結果（平均値）との比較を含めながら紹介します。

日本における主な調査結果： 

• 自社におけるサイバーセキュリティ対策への信頼度が高まっている
  • 日本のCISOは、2年間にわたる新型コロナウイルスのパンデミックを経て、自社組織の環境をコントロールできていると感じています。今後1年間に重大なサイバー攻撃を受けるリスクがあると感じていると回答した日本のCISOは38%で、2021年の63%から大きく減少しています。世界平均も日本と同じ傾向にあり、64％から48％に低下しています。(※図１)
•  最大のサイバーセキュリティ脅威として認識されているのは内部脅威
  • 日本のCISOの間では、不注意、過失、犯罪を問わず「内部脅威」が39%でトップとなりました。次いで、「スミッシング/ビッシング攻撃」が33%、「ランサムウェア攻撃」が32%、「ビジネスメール詐欺」が31%と続いています。一方、世界のCISO間では、「内部脅威」が31％、「DDoS攻撃」「ビジネスメール詐欺」「クラウドアカウント漏洩（O365またはG suiteのアカウントが漏洩）」がいずれも30%と僅差で続いています。「ランサムウェア」に対する懸念は、最近のニュースではよく目にするものの、28%にとどまっています。
•  組織のサイバー対策は若干改善されたものの、標的型攻撃に対する準備は大きな懸念事項
  • パンデミック後のハイブリッド型勤務環境に慣れてきたことで、日本を含む世界のCISOはサイバー脅威に対応できるようになったと感じています。その一方で、標的型攻撃に対する準備が整っていないと回答した日本のCISOは62％（世界平均：50%）で、2021年の64％（世界平均：６６％）からほぼ横ばいとなっています。
• 従業員のセキュリティ意識は向上しているが、サイバー防御のスキルは不十分
  • 日本のCISOの61%（世界平均：60％）は、従業員がサイバー脅威から組織を守るための自身の役割を理解していると考えています。一方で、ヒューマンエラーが組織における最大の脆弱性であると考えている日本のCISOは、世界平均の56％より10ポイント低い46％で、ユーザーによりもたらされるリスクの程度を過小評価していることがうかがえます。また過去1年間で従業員に対するサイバーセキュリティトレーニングの頻度を増やしたと回答した日本のCISOは、46%にとどまっています。
•  ハイブリッド型の働き方が長期化し、情報保護がCISOの新たな最重要課題になっている
  • 日本のCISOの50％が、過去1年間に標的型攻撃が増加したとしています。また、55%が、ハイブリッドワークが浸透したことにより情報保護がより大きな課題になっていると回答しています。世界平均もそれぞれ51％、50％と、日本の状況と類似しています。さらに、「従業員がどのようにデータ侵害を引き起こす可能性が最も高いか」という質問に対して、日本のCISOは、従業員が不注意で自身の認証情報を公開し、サイバー犯罪者に機密データへのアクセスを与えてしまう「内部脅威」の可能性が最も高いと回答しています。
• ランサムウェアの流行がサイバーリスクに対する経営幹部の意識を高め、戦略の転換が進む
  • 近年発生した大きなインシデントなどにより、ランサムウェアは組織の重要課題となりました。日本のCISOの54%がサイバー保険に加入し、56%が検知・対応戦略よりも防止に重点を置いていることが明らかになりました。世界平均はそれぞれ、58％、60％と似たような傾向が見られます。また、日本のCISOの66%は、身代金を支払うか支払わないかについてのポリシーを作っていることを認めており、これは世界平均の58％と比べ、8ポイント高い結果となっています。
• サイバーリスクがビジネスリーダーや経営陣を悩ませていることから、日本の CISO の大多数はプレッシャーを感じている
  • 自身の役割に対する期待が過剰であると感じている日本のCISOは53%（世界平均：49％）で、2021年の58%（世界平均：57％）から減少しています。一方で、経営陣との連携が取れていないと感じる割合は増加し、サイバーセキュリティの問題に関して経営陣と見解が一致していると強く思う日本のCISOは、2021年の28%から23％へと低下しています。サイバーリスクについて検討する際、日本のCISOは、業務の中断（44％）、風評被害（42％）、顧客の喪失（36％）を経営陣のセキュリティ懸念事項として挙げています。(※図2)

調査結果に対する考察 

日本プルーフポイント株式会社　サイバーセキュリティ チーフ エバンジェリストの増田 幸美（そうた ゆきみ）は次のように述べています。「この2年間、CISOはハイブリッド型の働き方への対策を強化してきました。クラウド利用が加速したことから、サイバーセキュリティ対策の優先度も変わり、遠隔から働く従業員を守る対策が必要となっています。ハイブリッドワークを導入して以来、標的型攻撃が増加したと考えるCISOが多く、内部脅威、スミッシング/ビッシング攻撃、ランサムウェア攻撃、ビジネスメール詐欺（BEC）などの攻撃を大きな脅威として認識しています。一方で多くの従業員が退職するようになり、情報保護が以前より難しくなったことから、情報漏えい対策の転換も迫られています。サイバー攻撃に対する“検知・対応”には多くのセキュリティ人員の工数がかかることから、より早い段階で攻撃を食い止める“防止”に重点をおくシフト・レフトの対策によって、セキュリティ人員の不足を補う必要があります。また地政学的な緊張の高まりと人の脆弱性を狙う攻撃の増加により、ユーザーのセキュリティ意識を向上させる啓蒙教育が必要とされています」

日本プルーフポイント株式会社　代表取締役社長　茂木 正之は、次のようにコメントしています。「本レポートにより、2021年もまた世界中のCISOにとって困難な時期であったことが証明されました。多くの企業が被害を受ける中、経営陣はサイバーセキュリティを経営課題として認識しつつありますが、CISOに対して過剰な期待をいだいているのも確かです。ＤＸで攻めの経営を進めるにあたっては、セキュリティで守りを固め、これらを両輪で進める必要があります。ニューノーマル時代の働き方に対応するようサイバーセキュリティ対策を見直し、ゲームチェンジをはかることが求められています」

「2022 Voice of the CISO」レポート（日本語版）は以下リンクよりダウンロードしてください：
https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report

サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください：
https://www.proofpoint.com/jp/products/security-awareness-training

Proofpointについて

Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の75%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。

＜本件に関する報道関係者からのお問い合わせ先＞

バーソン・コーン＆ウルフ・ジャパン
担当：樫村／田中
TEL： 070-4504-0794／070-2160-1779
Email：proofpointJP@bcw-global.com

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。 
http://www.proofpoint.com/jp