日本のCISOは過剰な期待を受けている グローバルの意識調査から見えた課題

日本プルーフポイントはCISOが直面している課題や優先事項についての調査報告書「2023 Voice of the CISO」の日本語版を公開した。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2023年6月20日、CISO（最高情報セキュリティ責任者）が直面している主な課題や期待、優先事項をまとめた「2023 Voice of the CISO」の日本語版を公開した。

　「2023 Voice of the CISO」は調査会社Censuswideが2023年1月30日から同年2月7日に実施した調査をまとめたものだ。調査対象は従業員数200人以上の組織の合計1600人のCISOとされている。調査対象国は日本をはじめ米国やカナダ、英国、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、UAE、サウジアラビア、オーストラリア、シンガポール、韓国、ブラジルの16カ国であり、それぞれの国において100人のCISOにインタビューした。

「2023 Voice of the CISO」の日本語版が公開された（出典：ProofpointのWebサイト）

日本のCISOの多くが過剰な期待をされている

　同調査における主な分析テーマは以下の通りだ。

• CISOが直面する脅威リスクについて
• 従業員が組織のサイバー攻撃対策に与える影響について
• 景気後退による限られたセキュリティ予算における防御策について

　報告書における日本に関連した注目ポイントは以下の通りだ。

• 今後1年間で重大なサイバー攻撃を受けるリスクが、新型コロナウイルス感染症パンデミックの初期と同じレベルの懸念まで戻っている。また「標的型のサイバー攻撃に対する準備ができていない」と感じている日本のCISOが世界平均よりも多い
• 従業員の退職や契約終了によって機密情報の重大な損失が生じており、その割合は世界よりも日本の方が高い。こうした状況にもかかわらず、日本のCISOは世界平均よりも自社のデータが適切に保護されていると考えている
• 日本のCISOが懸念する脅威のトップがビジネスメール詐欺（BEC）を含む電子メール詐欺という結果になった。次いでランサムェア攻撃、サプライチェーン攻撃が続いている。世界平均でも電子メール詐欺がトップになっている
• ランサムウェア攻撃による損害を抑えるためにサイバー保険への加入が進んでいる。日本のCISOの68％は「ランサムウェア攻撃を受けた場合の損失の補償をサイバー保険に請求する」と述べており、世界平均よりも高くなっている
• 日本のCISOはサプライチェーン攻撃のリスクを低減するために適切な制御を導入していると可能する割合が増加しており、世界平均よりも増えている
• 日本のCISOの多くがヒューマンエラーを組織における最大の脆弱（ぜいじゃく）性だと見なしており、セキュリティ文化の構築に積極的に取り組んでいる
• 日本のCISOはサイバーセキュリティリスクに関して取締役会と同じ目線に立っていると考えている
• 日本のCISOの多くは自分の役割に対する期待が過剰であると感じている

　日本プルーフポイントは、「新型コロナウイルス感染症の影響で多くの企業がテレワークの導入を進め、現在ではハイブリッドワークが普及した結果、人材流動が起き、これが機密情報の漏えいにつながっている」と指摘し、適切な対策の必要性を訴えた。