サイバーセキュリティ企業Proofpointが世界中の最高情報セキュリティ責任者1,600人を対象に実施した新たな調査によると、回答者の68%が今後12ヶ月以内に自社が攻撃を受けるリスクがあると感じており、そのうち25%がそのリスクを非常に高いと評価しました。昨年は、今後1年以内にサイバー攻撃を受けると回答した人はわずか48%でした。
地域別に見ると、最も懸念を抱いているCISOは英国(84%)、ドイツ(83%)、シンガポール(80%)におり、米国は73%でした。業種別では、小売業(77%)、製造業(76%)、金融業(71%)のCISOがサイバー攻撃について最も懸念を抱いています。
ジャンプ先:
- CISOによるサイバーセキュリティ脅威ランキング
- 認識 vs. 準備
- 今後2年間のCISOの最優先事項
- CISOと取締役会との良好な関係
- 燃え尽き症候群の確率が高いストレスの多い仕事
- サイバーセキュリティを推進するためのCISOと取締役会のコミュニケーション
CISOによるサイバーセキュリティ脅威ランキング
CISOは、今後12ヶ月間、ビジネスメール詐欺(BEC)を組織にとって最大の脅威(33%)と見なしています(図A)。FBIのインターネット犯罪苦情センターによると、この種の詐欺による調整後損失は2021年に約24億ドルに達しました。
図A
昨年、CISOにとって最大のリスクと考えられていた内部脅威は、BEC脅威(30%)に次いで高い割合を占めています。これらの内部脅威は、過失、偶発的、あるいは犯罪行為によるものである可能性があります。
クラウド アカウントの侵害と分散型サービス拒否攻撃は、CISO の 29% にとって大きな懸念事項です。
サプライチェーン攻撃は、ランサムウェア攻撃、スミッシング攻撃、ヴィッシング攻撃と同率で27%発生しています。サプライチェーン攻撃は規模と複雑性を高めており、これらの不透明なネットワークを保護することはかつてないほど困難になっています。しかしながら、CISOの64%は、サプライチェーンリスクを軽減するための十分な対策を講じていると考えています。
参照: TechRepublic Premium のセキュリティ分析採用キットを使用して、企業のセキュリティ体制の監視を支援できる人材を見つけてください。
ランサムウェアの脅威に関しては、CISO(最高情報セキュリティ責任者)は、システムの復旧やデータの流出阻止のためにサイバー犯罪者に身代金を支払うことにますます積極的になっています(62%)。この統計は驚くべきものではありません。世界経済フォーラムが2022年に発表した報告書によると、組織の71%がサイバー保険に加入しており、CISOの61%が、発生した損失の回復のためにサイバー保険に請求する意向を示しています。
しかし、CISOの大半(62%)は、盗難または侵害された認証情報を使用するランサムウェアの脅威アクターを、組織が重大な損害が発生する前に検知・排除できると考えています。Proofpointによると、エンドポイント検知・対応技術は、侵害された認証情報の使用について顧客に警告を発していないため、この自信はおそらく誤っているようです。
サイバー脆弱性に関しては、調査対象の CISO の 60% が人為的ミスを最大のリスクと見なしており、これは過去 2 年間の調査と一致しています。
CISOの61%は、従業員がサイバー脅威から組織を守る上での役割を理解していると考えており、25%は「強く同意」しています。この数字は過去2年間変化しておらず、Proofpointによると「セキュリティ意識の文化構築においてほとんど進歩がない」ことを示唆しています。
認識 vs. 準備
Proofpoint は、企業を襲う可能性のあるサイバー攻撃に対する認識とその準備状況の間に懸念すべき乖離があると指摘し、CISO の 61% が、自社は標的型サイバー攻撃に対処する準備ができていないと認めていると述べています。
Proofpointが昨年実施した取締役を対象とした調査によると、標的型サイバー攻撃への備えが不十分だと考えている取締役はわずか47%でした。Proofpointは、CISOは「セキュリティ体制の把握と脅威の状況に対する理解が深まっている」と述べており、取締役レベルの楽観的な見方は現状の不完全な把握に基づいている可能性が高いとしています。
今後2年間のCISOの最優先事項
昨年とほぼ変わらず、今後 2 年間の CISO の優先事項は、DevSecOps や製品開発などのイノベーション (39%)、統合 (37%)、セキュリティ オペレーション センターやマネージド サービス セキュリティ プロバイダーなどへのセキュリティ管理のアウトソーシング (35%) に重点を置いています (図 B )。
図B
世界的な景気後退は、CISOのこれらの優先事項に影響を与えています。多くの組織はサイバーセキュリティ予算を削減しながらも、CISOには同じ目標を課しています。CISOの半数以上(58%)が、最近の経済情勢がサイバーセキュリティ予算に悪影響を与えていると回答しており、特に公共部門とIT部門への影響が大きいことが分かりました。
CISOと取締役会との良好な関係
CISOの役割の影響力が高まるにつれ、取締役会レベルでの交流も活発化しています。CISOの62%は、取締役会がサイバーセキュリティ問題に関して自分たちと意見が一致していると回答しています。
データ損失に関して、CISOは取締役会の最大の懸念事項は風評被害(36%)、事業価値への影響(36%)、既存顧客の喪失(36%)であると考えています。一方、現実には、運用停止とデータ復旧(38%)、財務損失(33%)、規制当局による制裁(33%)といった影響が懸念されています。しかし、これらの懸念の多くは相互に関連しており、運用停止は風評被害、顧客喪失、事業価値の低下につながる可能性があります。
CISOの62%は、サイバーセキュリティの専門知識は取締役会の必須要件であるべきだと考えています。米国証券取引委員会が上場企業に対し、取締役がサイバーセキュリティの専門知識を有しているかどうかを開示することを義務付ける提案を行ったことを考えると、この見解は興味深いものです。
燃え尽き症候群の確率が高いストレスの多い仕事
企業で突如導入されたリモートワークやハイブリッドワークは、より大きなプレッシャーをもたらし、CISOの61%が過剰な期待に直面していると回答しています。この割合は、2022年の49%、2021年の57%から増加しています。
多くの企業では世界的な景気後退によりサイバーセキュリティ予算が削減されているため、このプレッシャーはさらに高まっています。
個人賠償責任の問題も、CISOの62%にとって懸念事項です。回答者の61%は、取締役や役員を保護するための保険などを提供しない組織には入社しないと回答しています。
このような状況では、調査対象の CISO の 60% が過去 12 か月以内に燃え尽き症候群を経験したと答えているのも不思議ではありません。
サイバーセキュリティを推進するためのCISOと取締役会のコミュニケーション
ここ数年は特に困難な時期であり、ニューノーマル(新たな常態)に戻るまでには長い移行期間が続きました。多くの組織は、世界的な経済低迷により、サイバーセキュリティ予算を削減しながら、このニューノーマルに対処しなければなりません。
明るい面としては、CISOは取締役会においてより明確な情報を得ることができ、取締役会間のコミュニケーションがより円滑になったことが挙げられます。CISOと取締役会の関係強化は、サイバーセキュリティにとって間違いなくプラスとなるでしょう。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
