サイバーセキュリティ企業Proofpointの2024年版「Voice of the CISO」レポートによると、CISOはこれまで以上に人を中心とした脅威に対処していることが明らかになりました。さらに、サイバーセキュリティ予算は変動がほとんどなく、AIはCISOの取り組みを後押しすることも、阻害することもあります。
具体的な脅威リスクに関しては、CISO の 41% が最も懸念しているのはランサムウェア攻撃であり、次いでマルウェア (38%)、メール詐欺 (36%)、クラウド アカウント侵害 (34%)、内部脅威 (30%)、分散型サービス拒否 (30%) 攻撃となっています。
このレポートでは、調査会社 Censuswide が 16 か国のさまざまな業界の従業員 1,000 人以上の組織の CISO 1,600 人を対象に調査を実施しました。
CISOの主な人中心のセキュリティ問題
調査によると、これまで以上に多くの CISO が、ヒューマンエラーが組織にとって最大の脆弱性であると考えています。CISO の 74% がそう感じており、2023 年の 60% から増加しています。
さらに、CISO の 80% は、今後 2 年間で人的リスクがサイバーセキュリティ上の主要な懸念事項であると考えています。これは 2023 年の 63% から増加しています。ここで AI が活躍する場となり、CISO の 87% が、人間の脆弱性に対抗し、人間中心のサイバー脅威をブロックするために AI を活用したテクノロジーを導入することを検討しています。
脅威に関するものには、悪意のある内部者 (36%) や侵害を受けた内部者 (33%) も含まれます。
ダウンロード: TechRepublic Premium のセキュリティ意識向上およびトレーニングポリシー
データ損失イベントと脅威の軽減
CISO(最高情報セキュリティ責任者)にとって、データ損失事象の最大の原因は、外部からの攻撃(40%)よりも、従業員の不注意(42%)であると考えられています。Proofpointのレポートによると、CISOの73%が、データ損失事象の原因は従業員の退職にあると回答しています。
これらのデータ損失イベントの結果は、主に金銭的損失 (43%)、攻撃後の回復コスト (41%)、重要なデータの損失 (40%) です。
参照:オーストラリアのCISOはデータ侵害リスクをより詳しく検討するよう促されている
データ損失の問題に対処するために、多くの CISO は従業員にコンピューター セキュリティのベスト プラクティスを教育し (53%)、クラウド セキュリティ ソリューションを使用し (52%)、データ損失防止テクノロジ (51%)、エンドポイント セキュリティ (49%)、電子メール セキュリティ (48%)、または分離テクノロジ (42%) を導入しています。
DLP の導入は 1 年で 35% から 51% に急増し、その結果、CISO の 81% が自社のデータが適切に保護されていると考えるようになりました。
サイバーセキュリティの脅威の増加
Proofpoint社は、ハイブリッドワークが標準化し、クラウド技術への依存度が高まっていることなど、様々な理由から、組織の攻撃対象領域はかつてないほど拡大していると述べています。また、従業員のモバイル化が進み、転職時にデータを持ち出すケースも増えています。
CISOの70%は、今後12ヶ月以内に自社が重大なサイバー攻撃に直面する可能性が高いと感じており、31%は「非常に高い確率で」と回答しています。米国、カナダ、韓国のCISOは、こうした攻撃に遭遇することを最も懸念しています。
人工知能はCISOだけでなくサイバー犯罪者にも役立つ
前述の通り、調査対象となったCISOの大半は、まだ初期段階にあるとはいえ、組織を保護するためにAIを活用したテクノロジーの導入を検討しています。Proofpointは、「この初期段階においてさえ、外部からの脅威、機密コンテンツ、そして異常な行動やアクティビティを結び付けて把握することが可能です。これは、人間によるモデレーションや従来の分析では、同等のスピードと規模で実現できなかったことです」と述べています。
参照: Google Cloud の Nick Godfrey が CISO 向けのセキュリティ、予算、AI について語る
しかし、AIはサイバー犯罪者にもメリットをもたらし、攻撃の規模拡大を容易にしています。これまで国家レベルの脅威アクターや資金力のあるサイバー犯罪グループのみが利用していた手法が、今やスキルの低い攻撃者にも利用可能になっています。CISOの半数以上(54%)は、AIが組織に何らかのセキュリティリスクをもたらすと考えています。
サイバーセキュリティ予算に関する圧力
調査対象となったCISOの59%によると、経済は組織に影響を与えています。さらに、セキュリティ予算がせいぜい横ばいにとどまっている中、CISOはより多くの、あるいは少なくとも同等の成果をより少ない予算で達成するようプレッシャーを受けています。CISOの48%は、人員削減、補充の延期、あるいは支出削減を求められてきました。
CISO の予算に応じた最優先事項は現在、情報保護の向上とビジネスイノベーションの促進 (58%) であり、従業員のサイバーセキュリティ意識の向上 (54%) をわずかに上回っています。
CISOの懸念には燃え尽き症候群と保険が含まれる
予算関連のストレスに加え、CISOの66%は、自分たちへの期待が非現実的だと感じています。この数字は継続的に増加しており(2023年には61%)、懸念事項への回答が得られていないと感じていることも理由の一つです。こうした状況は仕事への満足度の低下につながり、CISOの53%が過去1年間に燃え尽き症候群を経験、または目撃しています。
CISOの66%は、職務における個人的、金銭的、法的責任についても懸念しており、職務上の保護が不十分であることを懸念しています。また、CISOの72%は、サイバー攻撃を受けた場合に取締役・役員保険や同様の保護を提供しない組織には入社しないと回答しています。
明るい兆し:CISOと取締役との関係
CISO の 84% が取締役と直接顔を合わせて話をしていると回答しましたが、2022 年には 51%、2023 年には 62% しかそのようなやり取りをしていないと回答しました。こうしたやり取りにより、取締役からの理解が深まりました。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
