人の脆弱性という領域を緩和するために、CISOの87％がAIを活用した技術を利用することでヒューマンエラーを防ぎ、 「人」を標的にした高度なサイバー脅威をブロック

今回の2024年版レポートでは、サイバー攻撃に対する脅威が高まり続ける一方で、世界のCISOはこうした脅威への防御能力に自信を深めているという注目すべき傾向が示され、サイバーセキュリティの状況が大きく変化していることが反映されています。調査対象となった世界のCISOの3分の2以上（70％）は、今後1年の間に重大なサイバー攻撃を受けるリスクがあると考えており、昨年2023年は68％、2022年は48％でした。標的型サイバー攻撃に対処する準備ができていないと感じているCISOはわずか43％で、昨年の61％、2022年の50％から顕著な減少を示しています

ヒューマンエラーは引き続きサイバーセキュリティのアキレス腱として認識されており、世界のCISOのほぼ4分の3（74％）が最も重大な脆弱性とみなしています。内部脅威と人が原因の情報漏えいが拡大する中、今後2年間のサイバーセキュリティの主要な懸念事項として、「人」のリスク、特に従業員の過失を挙げるCISO（80％）がこれまで以上に増えています。一方で、「人」を中心としたリスクを低減するAIを活用したソリューションの役割を楽観視する声も高まっており、戦略的軸足がテクノロジー主導の防御に向けられていることを反映しています。

調査概要：
「2024 Voice of the CISO」レポートは、調査会社 Censuswide により 2024 年の 1 月 20 日から 2 月 2日の期間に実施され、調査対象となったのは 16 か国のさまざまな業種にわたる従業員 1,000 人以上の組織の合計 1,600 人の情報セキュリティ最高責任者 (CISO) です。インタビューは、アメリカ、カナダ、イギリス、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、UAE、サウジアラビア、オーストラリア、日本、シンガポール、韓国、ブラジルから、それぞれ 100 人のCISO を対象に行いました。

本レポートは、サイバーセキュリティの状況について、人とデータを守る最前線にいる人々からの重要な視点を提供しています。また、経済的圧力に直面しながらも強固なサイバーセキュリティ対策を維持することの重要性と、組織のサイバーセキュリティ対策における人的要因の重要な役割を強調しています。この調査では、組織のセキュリティ担当者と取締役会の間の連携の変化も測定し、両者の関係がセキュリティの優先事項にどのような影響を及ぼすかを探っています。

プルーフポイントのグローバルCISO、パトリック・ジョイス（Patrick Joyce）は、次のように述べています。「サイバーセキュリティの状況は、「人」を中心とした脅威の増加とともに進化を続けていますが、2024 Voice of the CISOレポートでは、世界中のCISOの間で、より大きな回復力、備え、自信に向けた極めて重要なシフトが見られることが浮き彫りになっています。今年の調査結果は、教育の強化、技術導入、生成AIのような新たな脅威への適応的アプローチなど、戦略的防御に向けた集団的な動きを強調しています」

日本における主な調査結果：

• サイバー脆弱性の脅威のトップは依然としてヒューマンエラー、CISOはAIソリューションの活用に注目
  ヒューマンエラーを組織の最大のサイバー脆弱性と見なしている日本のCISOは、2023年の70%に対し、2024年の調査では66%でした（図１）。しかし、日本のCISOの80%（世界平均：86%）は、従業員が組織を守る上での自分の役割を理解していると考えています。この信頼度は、2023年の75％（世界平均：61%）、2022年の61％（世界平均：60%）に比べ、高くなっています。また、調査対象となったCISOの93%（世界平均：87%）が、ヒューマンエラーや人を中心とした高度なサイバー脅威から身を守るために、AIを活用した機能の導入を検討していると回答しています。
  
  図1：ヒューマンエラーが組織にとって最大のサイバー脆弱性であることに賛同するCISOの割合
   
• CISOが引き続きサイバー攻撃を懸念する中、準備不足の懸念は減少、自社のセキュリティ対策の自信が高まる
  今後1年間に重大なサイバー攻撃を受けるリスクがあると考えている日本のCISOは、今年の調査では60%（世界平均：70%）で、2023年は65%（世界平均：68%）、2022年は38%（世界平均：48%）でした。しかし、標的型サイバー攻撃に対処する準備ができていないと感じている組織は、2023年には71％（世界平均：61%）、2022年には62％（世界平均：50%）だったのに対し、わずか40％（世界平均：43%）にとどまっています。
• 「退職する従業員」は依然として懸念事項だが、CISOは自社の防御対策を信頼
  日本のセキュリティ担当者の34%（世界平均：46%）が、過去1年間に機密データの重大な損失に対処しなければならなかったと回答しており、そのうち71%（世界平均：73%）は、退職した従業員が損失の原因になったと考えています。こうした損失にもかかわらず、日本のCISOの70%（世界平均：81%）はデータを保護するための適切な管理体制が整っていると考えています。（※図2）
  
  図2：過去1年間で組織が機密情報の重大な漏えいに対処したCISOの割合
• CISOの大半がDLP技術を導入し、セキュリティ教育への投資を拡大
  2024年の調査では、日本のCISOの55%（世界平均：51%）が情報漏えい対策（DLP）を導入しているのに対し、2023年はわずか34%（世界平均：35%）でした。調査対象となった日本のCISOの半数以上（54%）が、データセキュリティのベストプラクティスに関する従業員教育に投資しており、2023年（45%）より増加しています。
• ランサムウェア攻撃とメール詐欺が最大脅威の首位に
  日本のCISOが2024年に懸念しているサイバーセキュリティ上の最大の脅威は、ランサムウェア攻撃（64%）がトップ、続いてメール詐欺（ビジネスメール詐欺：BEC含む）（42%）、クラウドアカウント侵害（Microsoft 365、G Suiteなど）（40%）となっています。昨年のトップ３は、メール詐欺、ランサムウェア攻撃、サプライチェーン攻撃でした。世界のCISOにおける認識は、ランサムウェア攻撃 (41%)がトップで、次にマルウェア (38%)、3位はメール詐欺 (36%) で、昨年の1位より順位が下がっています。下位3つの脅威は、スミッシング/ビッシング（24%）、サプライチェーン攻撃（25%）、内部脅威およびDDoS攻撃（同率30%）となりました。
• ランサムウェア攻撃に備え、高まるサイバー保険への依頼度
  2024年の調査では、日本のCISOの44％（世界平均：62%）は、今後1年以内にランサムウェアの攻撃を受けた場合、システムの復元やデータ漏えいの防止に支払いを行う可能性があると考えています（2023年は73％）。日本のCISOの78%（世界平均：79%）は、発生する可能性のある損失補償にサイバー保険を利用すると回答しています（2023年は68%）。
• 生成AI はCISOのセキュリティ上の最大の懸念事項
  2024年の調査対象となった日本のCISOの42%（世界平均：54%）は、生成AIが組織にセキュリティリスクをもたらすと考えています。CISOが組織にリスクをもたらすと考えるシステムのトップ3は、ネットワーク境界デバイス（44％）、「ChatGPT」などの生成AI（38％）、「Slack」「Teams」「Zoom」などのコラボレーションツール（29％）でした。一方、世界のCISOが考える懸念システムトップ3は、「ChatGPT」などの生成AI（44%）、「Slack」「Teams」「Zoom」などのコラボレーションツール（39%）、Microsoft 365（38%）でした。
• 取締役会と CISO の関係は大幅に改善
  2024 年には、日本のCISO の 82%（世界平均：84%）が、サイバーセキュリティの問題に関して取締役会のメンバーと意見が一致していると回答しています。これは、2023年の80%（世界平均：62%）、2022年の52%（世界平均：59%）から大幅に上昇しています。
• 絶え間ないCISOへのプレッシャー
  燃え尽き症候群を経験している日本のCISO は、2024年は33％（世界平均：53%）、2023年は67％でした。一方、日本のCISO の70％（世界平均：66%）は、自身の役割に対する期待が過剰であると感じており、2023年の75％からわずかに減少したものの、2022年の53％よりはるかに高い数値となっています。CISOに対する期待が持続可能かどうかは、依然として試されており、日本のCISOの49%（世界平均：66%）は個人賠償責任を懸念しています（2023年は71%）。また、65%（世界平均：72%）は、会社役員賠償責任保険（または同等の保険）でカバーされない組織には加入しないと回答しています（2023年は71%）。さらに、CISOの48%（世界平均：59%）は、現在の景気低迷がビジネスクリティカルな投資を行う能力を妨げていることに同意しており、そのうち35%（世界平均：48%）は人員削減や欠員補充の後回し、セキュリティ予算の削減を求められていると回答しました。

Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。
詳細は www.proofpoint.com/jp にてご確認ください。