ハイブリッドワークやリモートワークといった新たな働き方の環境は、IT部門の従業員を不安にさせており、最高情報セキュリティ責任者(CISO)も例外ではありません。Proofpointの「2022 Voice of the CISO」レポートによると、調査対象となった1,400人のCISOのうち50%が、自社はサイバー攻撃への対応体制が整っていないと感じており、48%が今後1年以内に重大なサイバー攻撃を受けるリスクがあると考えていることが明らかになりました。
「大規模な攻撃がサプライチェーンを混乱させ、ニュースの見出しを飾り、新たなサイバーセキュリティ法の制定を促すなど、2021年は世界中のCISOにとって再び困難な時期となりました」と、Proofpointのバイスプレジデント兼グローバルCISOであるルシア・ミリカ氏は述べています。「しかし、CISOが新しい働き方に適応するにつれ、セキュリティ体制に対する自信を深めている様子が見られるのは心強いことです。」
CISOが潜在的な攻撃への準備ができていないと感じる理由
CISO の大多数が、これまで以上に多くの従業員がオフィス外で働くことに対して自信があると述べているのに、なぜ彼らは準備ができていないと感じるのでしょうか?
大きな特徴の一つは、多くのCISOが従業員の準備態勢にはまだ大きな改善の余地があると考えていることです。多くの企業にとって最大の弱点は潜在的な人的ミスであり、56%がバーチャル環境における最大の脆弱性だと考えています。さらに、昨年調査対象となった世界のCISOのうち、従業員へのサイバーセキュリティ研修の頻度を増やした人は半数にとどまりました。回答者の60%は、組織内の従業員がサイバー脅威から組織を守る上での自分の役割を理解していると考えていますが、攻撃を回避するためには、補足的な研修を行うことが長期的に大きな利益をもたらす可能性があります。
もう一つの喫緊の課題は、大規模辞任と従業員のオフィス外勤務によってもたらされた変化への適応策を見つけることです。調査対象となったCISOの半数以上(51%)が、過去12ヶ月間に標的型攻撃が増加したと回答しています。従業員の意識向上は有効ですが、標的型攻撃が発生した場合に従業員のデバイスを安全に保つことは、依然としてITチームの責任です。
「パンデミックがセキュリティチームに与える影響が徐々に薄れつつある中、2022年のレポートでは喫緊の課題が浮き彫りになっています。従業員が離職したり、職場復帰を断念したりする中で、セキュリティチームは現在、数多くの情報保護の脆弱性と内部脅威に対処しなければなりません」とミリカ氏は述べています。
また、このレポートの調査対象となった CISO の半数は、組織への従業員の出入りの頻度の増加により、会社の機密情報や知的財産の保護に関する課題が増大していると述べています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
CISOがより良い準備のためにできること
ランサムウェアやマルウェア攻撃への対策として、Proofpointは、ゼロトラストアーキテクチャの導入、情報保護ソリューションの強化、そして従業員への意識向上トレーニングの強化をCISO(最高情報セキュリティ責任者)がまず取り組むべきであると推奨しています。また、大規模辞任に起因するスキルとリソースの不足にも対処する必要があり、CISOは必要に応じてセキュリティソリューションをアウトソーシングすることも検討すべきです。
「ハイブリッドワークを支援するための防御強化に2年間を費やした後、CISOは、今日の分散型でクラウドに依存する従業員を標的とするサイバー脅威への取り組みを優先せざるを得なくなりました。その結果、彼らの焦点は、ビジネスメール詐欺、ランサムウェア、内部脅威、DDoS攻撃といった、最も発生しやすい攻撃の防止に移ってしまいました」と、Proofpointのサイバーセキュリティ戦略担当エグゼクティブバイスプレジデント、ライアン・カレンバー氏は述べています。「総じて、CISOは2022年を嵐の後の静けさとして受け入れているように見えますが、誤った安心感に陥っている可能性があります。地政学的緊張の高まりと人を対象とした攻撃の増加に伴い、サイバーセキュリティの海が再び荒波に見舞われる前に、ユーザーの意識、準備、そして予防における同様のギャップを埋める必要があります。」
2022 年は、パンデミック中に CISO が行わなければならなかった調整と比較すると安堵していると思われますが、組織が壊滅的な攻撃を受けないようにし、重要なデータが悪者の手に渡るのを防ぐために、対処する必要がある領域がまだいくつかあります。
