プルーフポイント、2023年 「Voice of the CISO」レポート日本語版を発表:CISOの約3分の2が過去1年間に機密情報の損失に対処しなければならなかったと回答
82%のCISOは、退職する従業員が情報漏えいに関わっていたと考えており、従業員の離職に起因する課題が浮き彫りに
サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社:東京都千代田区、代表取締役社長:茂木正之、以下プルーフポイント)は本日、「2023 Voice of the CISO (CISO意識調査レポート)」の日本語版を発表しました。本レポートは、世界の最高情報セキュリティ責任者(CISO)が直面している主要な課題と期待、そしてCISOの優先事項を調査したものです。今回の調査結果では、ほとんどのCISOが、パンデミック初期のような懸念を再び感じていることが明らかになりました。昨年の調査では、コロナ禍の混乱に適応し企業が一時的に平静を取り戻していたこともあり、当時サイバー攻撃が今後起こるであろうと考えていた CISO はわずか 48% でした。しかし、今年の調査では、CISO の 68% が今後 1 年の間に重大なサイバー攻撃を受けるリスクがあると考えており、64%が重大な攻撃が迫っていると考えていた2021年の水準に戻っています。同様に、CISOの61%が標的型サイバー攻撃に対処する準備ができていないと感じていることは、昨年の50%を大きく上回り、2021年の66%に迫る結果となりました。
組織は過去2年間の混乱期をほぼ乗り越えたものの、雇用の流動化に伴う大量退職の影響は依然として残っており、CISOの82%が退職する従業員がデータ損失に関わっていたと考えるなど、最近の大量退職時代の波によって状況はさらに悪化しています。また、63%が過去12ヶ月間に機密情報の紛失に対処しなければならなかったと回答しているにもかかわらず、60%は組織内のデータが適切に保護されていると述べています。
調査概要:
「2023 Voice of the CISO」レポートは、調査会社 Censuswide により 2023 年の 1 月 30 日から 2 月 7 日の期間に実施され、調査対象となったのは 16 か国のさまざまな業種にわたる従業員 200 人以上の組織の合計 1,600 人の情報セキュリティ最高責任者 (CISO) です。インタビューは、アメリカ、カナダ、イギリス、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、UAE、サウジアラビア、オーストラリア、日本、シンガポール、韓国、ブラジルから、それぞれ 100 人のCISO を対象に行いました。
本調査では次の3つの主要分野を分析:
- CISOが日々直面する脅威リスク
- 従業員が組織のサイバー攻撃対策に与える影響
- 景気後退によりセキュリティ予算が圧迫される中でCISOが構築している防御策
また、セキュリティリーダーと取締役会の間の連携の変化を測定し、その関係がセキュリティの優先順位にどのような影響を与えるかを探っています。
プルーフポイントの「2023 Voice of the CISO」レポートでは、グローバルなCISOコミュニティの一般的な傾向と国別の違いに注目しています。本レポートの日本における調査結果をグローバルの調査結果(平均値)との比較を含めながら紹介します。
日本における主な調査結果:
- パンデミックの初期と同様の懸念が再来し、CISOは昨年よりも準備不足を感じている
日本のCISOの65%(世界平均:68%)は、今後1年間で重大なサイバー攻撃を受けるリスクを感じており、2022年の38%、2021年の63%に比べ、より高いリスクを感じています。さらに、自社は標的型サイバー攻撃に対処する準備ができていないと考えている日本のCISOは71%(世界平均:61%)で、2022年の62%、2021年の64%と比べて増加しています。(※図1)
-
機密情報の損失は、従業員の離職によって悪化
日本のCISOの75%(世界平均:63%)は、過去1年間に機密情報の重大な損失に対処しなければならなかったと回答し、そのうちの88%(世界平均:82%)は、従業員が組織を去ったことが損失につながったことに同意しています。このような損失が起こっているにもかかわらず、日本のCISOの71%(世界平均:60%)は、組織内のデータは適切に保護されていると考えています。 -
メール詐欺が最も重要な脅威の首位に
日本のCISOが懸念している脅威の種類にも変化が見られ、最新の調査ではメール詐欺(ビジネスメール詐欺:BECを含む)がトップ、続いて、ランサムウェア攻撃、サプライチェーン攻撃が続きました。昨年は、内部脅威がトップで、次にスミッシング/ビッシング攻撃、ランサムウェア攻撃でした。世界のCISOおける認識は、メール詐欺が昨年の4位からトップに浮上し、内部脅威、クラウドアカウント侵害、DDoS攻撃が僅差で続く結果となりました。 -
ランサムウェア攻撃に備えるためにサイバー保険への加入が進む
日本においてもランサムウェアによる損害を抑えるべくサイバー保険への加入が進んでおり、68%(世界平均:61%)が、ランサムウェア攻撃を受けた場合、損失額を補償するためにサイバー保険に請求すると述べています。 -
サプライチェーン攻撃のリスクに対する優先順位が高まっている
日本のCISOの78%(世界平均:64%)は、サプライチェーン攻撃のリスクを軽減するために適切な制御を導入していると回答しており、昨年の59%から大幅に増加しています。これらの保護対策は、現時点では十分と感じられるかもしれませんが、CISOの65%(世界平均:58%)は、低迷する経済状況が組織のサイバーセキュリティ予算に悪影響を及ぼしていると回答していることから、今後、CISOはリソースの不足をより強く感じることになるかもしれません。(※図2)
-
「人」のリスクは再び顕著な懸念事項に
より多くの日本のCISOが、ヒューマンエラーを組織にとって最大のサイバー脆弱性であるとみなし、2021年は65%、2022年は46%と大幅に減少したものの、今年の調査では70%(世界平均:60%)となっています。同時に、従業員が組織を守る役割を理解していると考える日本のCISOは75%(世界平均:61%)で、2021年の71%、2022年の61%と比べ上昇していることから、強固なセキュリティ文化構築のために奮闘していることがわかります。 -
CISOと取締役会は、より緊密に連携
日本のCISOの80%(世界平均:62%)は、サイバーセキュリティの問題に関して、ボードメンバーが自分たちと同じ目線に立っていると考えています。これは、2021年の65%、2022年の52%から大幅に増加しています。 -
高まるCISOへのプレッシャーで、その業務はますます持続不可能に
日本のCISOの75%(世界平均:61%)は、自身の役割に対する期待が過剰であると感じており、2022年の53%から大幅に増加しています。「ニューノーマル」の時代に移ったことも理由の一つかもしれませんが、CISOの仕事に関する憤りとして、71%(世界平均:62%)が個人責任への懸念、67%(世界平均:60%)が過去1年間に燃え尽き症候群を経験したと回答しています。
調査結果に対する考察
日本プルーフポイント株式会社 サイバーセキュリティ チーフ エバンジェリストの増田 幸美(そうた ゆきみ)は次のように述べています。「コロナ禍を経て、ハイブリッドワークが当たり前となり、雇用の流動化によって退職者が増加し、中途採用者が増えています。本レポートによって、退職者が機密データ損失の主な原因であることが明らかになっており、働き方の柔軟さが増したことにより、情報漏えい対策にも転換が必要となっていることは明らかです。限られたセキュリティ予算の中で、CISOは組織のサイバーレジリエンスを高めるために、適切な優先事項から対策を打つ必要があります」
日本プルーフポイント株式会社 代表取締役社長 茂木 正之は、次のようにコメントしています。「多くのCISOは、コロナ禍を経てビジネスが“通常運転”に戻ったことで、サイバーリスクに対する組織の防御能力に対して、新たな考え方を取り込まなければなりません。プルーフポイントの2023年版Voice of the CISOレポートでは、従業員の保護とデータの保護がますます困難になる中、CISOがより高い期待を受け、責任が重くのしかかることにより、燃え尽き症候群に襲われたことが明らかになりました。しかし、CISOと経営陣の関係が改善されていることは、私たちに希望をもたらし、この関係性によって、組織は今年以降に直面する新たな課題を克服することができるでしょう」
「2023 Voice of the CISO」レポート(日本語版)は以下リンクよりダウンロードしてください:
https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report
サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください:
https://www.proofpoint.com/jp/products/security-awareness-training
Proofpointについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の75%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。詳細は www.proofpoint.com/jp にてご確認ください。