世界各国のボードメンバーは、サイバーセキュリティに優先的に投資しているものの、サイバー攻撃への備えができていないことが明らかに

サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、第２回目となる年次レポート「Cybersecurity: The 2023 Board Perspective」の日本語版、「取締役会におけるサイバーセキュリティの展望2023」を発表しました。本レポートは、世界的な脅威状況、サイバーセキュリティの優先順位、情報セキュリティ最高責任者（CISO）との関係性に関するボードメンバーの視点について、企業の上層部（ボードメンバー）における見解を調査したものです。調査結果によると、回答者の73%が大規模なサイバー攻撃のリスクを感じており、2022年の65%から大幅に増加しています。同様に、53%がサイバー攻撃に対処する準備ができていないと感じており、前年の47%から増加しています。

このような前年比の変化は、長引く地政学的緊張や、増加するランサムウェア攻撃およびサプライチェーンを破壊する攻撃により、脅威の状況が不安定であることを反映している可能性があります。ChatGPTのような人工知能（AI）ツールのリスクが高まっていることも、こうした意見の一因となっている可能性があります。ボードメンバーの59%は、AI技術がすでに組織にセキュリティリスクをもたらしていると考えています。

また、ボードメンバーの73%はサイバーセキュリティが取締役会にとって優先順位が高いと考えており、72％は自社が直面するサイバーリスクを取締役会が明確に理解していると考えています。さらに、70％は過去1年の間にサイバーセキュリティに十分な投資を行っていると考えているにもかかわらず、前述の懸念を抱いています。

調査概要

「取締役会におけるサイバーセキュリティの展望2023」では、世界 12か国 (日本、米国、カナダ、英国、フランス、ドイツ、イタリア、スペイン、オーストラリア、シンガポール、ブラジル、メキシコ) において、さまざまな業種にわたる従業員5,000人以上の組織におけるボードメンバー659人を対象にグローバルな第三者調査を行いました。また、2023年6月に12カ国の各市場で、50人以上のボードメンバーを対象に面談が行われました。

本調査では次の３つの主要分野について分析しています：

• 脅威状況 - 取締役会による見解
• サイバーセキュリティ体制と取締役会
• 取締役会のコミュニケーション、コラボレーション、CISOとの連携

プルーフポイントが「2023 Voice of the CISO (CISO意識調査レポート)」で明らかにしたCISOの考えに基づき実施された本調査の結果、リスクと準備不足を感じているCISOの数は前年と同様に増加しており、取締役会とCISO間の連携は以前よりも緊密になっていることがわかりました。

本調査について、日本における回答をグローバル全体の回答（平均値）と比較した主な結果は以下の通りです。

日本における主な調査結果

●取締役会は生成AIに注視している：
ChatGPTのようなツールがここ数カ月で大きな注目を集めていますが、調査対象者となった日本のボードメンバーの79%（世界平均：59%）がこの新しいAI技術を組織のセキュリティリスクと見なしています。

●日本のボードメンバーのサイバーリスクに対する懸念が前年より高まっている：
調査対象者の84％（世界平均：73％）が、自社が大規模なサイバー攻撃を受けるリスクがあると感じており、2022年の72％（世界平均：65％）より増加しています。

●「認識と資金」は「準備体制」につながらない：
日本のボードメンバーの87%（世界平均：73%）は、サイバーセキュリティが取締役会にとって優先順位が高いことに同意し、76%（世界平均：72%）は取締役会が直面しているサイバーリスクを明確に理解していると考えています。また、日本のボードメンバーの79%（世界平均：70%）は、サイバーセキュリティに十分な投資を行っていると考え、87%（世界平均：84%）は今後1年の間でサイバーセキュリティ予算は増加すると考えています。しかし、これらの努力が準備体制の強化につながっているわけではなく、63%（世界平均：53%）は、今後1年の間に組織がサイバー攻撃に対処する準備ができていないと考えています。

●懸念する最大の脅威について、日本のボードメンバーとCISOの認識は一致していない：
日本のボードメンバーの51％は、「内部脅威」を最も懸念しており、次いで「クラウドアカウント侵害」が41％、「マルウェア」が38％となっているのに対し、CISOは、最も懸念する脅威として「メール詐欺/ビジネスメール詐欺（BEC）」（45％）、「ランサムウェア攻撃」（34％）、「サプライチェーン攻撃」（34％）を挙げています。一方、世界のボードメンバーの最大の懸念事項は「マルウェア」で40％、次いで「内部脅威」が36％、「クラウドアカウント侵害」が36％となっています。また、世界のCISOが最も懸念している脅威は、「メール詐欺/ビジネスメール詐欺（BEC）」の33％、「内部脅威」の30％、「クラウドアカウント侵害」の29％となっており、世界のボードメンバーとCISOは「内部脅威」と「クラウドアカウント侵害」において、認識を一致させています。

●人がもたらすリスクとデータ保護の分野で日本のボードメンバーとCISOの意見はほぼ同じ：
ヒューマンエラーが最大のリスクであることに、日本のボードメンバーの75％（世界平均：63%）と日本のCISO の70%（世界平均：60%）は意見が一致しています。また、組織のデータ保護能力に対して、76%の日本のボードメンバーと71%のCISOの同程度が自身を持っています。一方、世界のボードメンバーは75%が組織のデータ保護能力に自信を持っており、それに対し世界のCISOは60%しかこの見解に同意していません。

●「技術管理の向上」、「予算規模の拡大」、「より経験豊富なCISO」が取締役会の要望リストの上位を占めている：
日本のボードメンバーの49%が、自分の組織のサイバーセキュリティに「技術管理の向上」を求めており、46%が「予算規模の拡大」、37%が「より経験豊富なCISO」が必要であると回答しています。一方、世界のボードメンバーの37%が、「予算規模の拡大」は組織のサイバーセキュリティにメリットがあると回答し、35%が「サイバーリソースの増加」、35%が「脅威インテリジェンスの向上」を望んでいます。

●取締役会とCISO間のコミュニケーションは徐々に改善されている：
日本のボードメンバーの 52％（世界平均：53%）が、セキュリティリーダーと定期的にコミュニケーションを取ると回答しています。昨年の49%（世界平均：47%）から微増したものの、取締役会の半数近くがCISOと経営幹部の強力な関係が築かれていないことに変わりはありません。しかし、ボードメンバーとCISOがコミュニケーションを行った場合、彼らの意見は概ね一致しており、ボードメンバーの63％（世界平均：65%）がCISOと意見が一致していると回答し、CISOの80％（世界平均：62%）が同意見となっています。

●個人的責任は、取締役会と CISO にとって同じ懸念事項である：
日本のボードメンバーの83%（世界平均：72%） が、自分の組織でサイバーセキュリティインシデントが発生した場合の個人の責任について懸念があり、CISO の71%（世界平均：62%）も同意見となっています。

調査結果に対する考察
日本プルーフポイント株式会社　サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。「地政学的な緊張から日本に着弾するサイバー攻撃は激化しており、サプライチェーンを経由した攻撃による影響で業務が停止する被害が相次いでいます。一方で、コロナ禍の影響で転職市場が活性化し、大量転職時代が到来したことにより、退職者が持ち出す情報についても注意をしなければならなくなりました。外部からの攻撃から情報を守ることと同時に、内部からの情報漏えいについても、考え直す転換期に来ています。日本はとかくぬるま湯につかるカエルのような状況にいますが、今一度、情報は企業価値でもあり、国の優位性を保つものでもあることを認識する必要があります。経営陣はサイバーセキュリティが経営課題であることを認識し、率先してその責任を果たすべくリーディングすることが当然の責務となっています」

プルーフポイント米国本社のサイバーセキュリティ戦略担当副社長、Ryan Kalember（ライアン・カレンバー）は次のように述べています。「取締役会とCISOの間で、サイバーリスクとその対策に関する新たな連携が見られるようになったことは、両者がより緊密に連携し、進展していることを示す前向きな兆候です。しかし、取締役会がリスクに対処するために投資している時間とリソースに満足しているにもかかわらず、この連携の進展は、サイバーセキュリティ体制に大きな変化をもたらしていません。私たちの調査結果は、意識の向上を人とデータを保護する効果的なサイバーセキュリティ戦略に変換することが依然として課題であることを示しています。ボードメンバーとセキュリティリーダーがより有意義な対話を行い、適切な優先事項に確実に投資できるようにするためには、取締役会とCISOの関係をさらに強化することが、今後数カ月の間に重要になるでしょう。ボードメンバーは、サイバーセキュリティの問題に真剣に取り組んでおり、人のリスクやサイバー脅威が組織の収益に与える影響について幻想を抱いていないことを示しています。彼らは、取締役会とCISOの強力なパートナーシップがこれまで以上に重要であることを理解し、セキュリティリーダーとの関係を前進させています。しかし、現状に満足している場合ではありません。取締役会は、準備体制と組織の回復力を向上させるために多額の投資を継続しなければなりません。つまり、ボードメンバーが十分な情報を得た上で、戦略的な意思決定を行い、前向きな成果を上げることができるよう、CISOとのより深く生産的な対話を推進しなければならないのです」

「取締役会におけるサイバーセキュリティの展望2023」（日本語版）は次のリンクよりダウンロードしてください：https://www.proofpoint.com/jp/resources/white-papers/board-perspective-report

Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。