CISO意識調査に見る日本と世界のギャップ

國谷武史 (編集部)

2021-06-18 06:00

 メールセキュリティ企業のProofpointが実施した最高情報セキュリティ責任者(CISO)の意識調査「2021 Voice of the CISO」によれば、どの国のCISOもコロナ禍に伴って拡大したリモートワーク環境におけるセキュリティ対策が重点課題に挙げられた。一方で、CISOが重視する脅威や今後の方向性などに関しては、日本と世界に違いが見られた。

 この調査は、従業員200人以上の組織のCISOを対象に実施され、14カ国の1400人が回答している。調査結果の概要は6月上旬に米国で報道発表されたが、日本の状況を中心に、日本プルーフポイント シニアエバンジェリストの増田幸美氏が解説してくれた。

 まず今後1年間で組織が重大なサイバー攻撃を受ける可能性があると考えるCISOは、世界平均が64%、日本が63%だった。最高は英国で84%、最低はシンガポールで44%だった。CISOが認識する脅威の種類の上位3件を見ると、世界平均ではBEC(ビジネスメール詐欺:34%)、クラウドのアカウント侵害(33%)、内部関係者の不正行為(31%)が挙げられたが、日本ではBEC(42%)、DDoS(36%)、クラウドのアカウント侵害(34%)が挙げられた。

今後1年間に考えられる最大のサイバーセキュリティの脅威
今後1年間に考えられる最大のサイバーセキュリティの脅威

 増田氏は、「BECを脅威と見る日本のCISOは世界平均より多く、一度の被害での損失額(数千万~数億円)が大きい点があるようだ」と指摘する。また、ビジネスで関係する取引先や部材調達などのサプライチェーンを狙うサイバー攻撃などのリスク(サプライチェーンのサイバーリスク)については世界平均の29%に対し、日本は19%と低かった。「世界中で企業のサプライチェーンを狙う攻撃が発生し、日本でも同様だが、まだその脅威が広く認識されていないようだ」(増田氏)という。

 ユニークな点は、従業員に関する意識にも見られた。脅威から組織を守る上が従業員が自身の役割を認識しているだろうと見るCISOは、日本が71%で最も多く、ドイツ(70%)やアラブ首長国連邦(69%)が続く。世界平均は58%、下位はシンガポール(42%)とオーストラリア(41%)だった。

サイバー脅威から組織を守るためにそれぞれが果たす役割を従業員が理解していると考えるCISO の割合
サイバー脅威から組織を守るためにそれぞれが果たす役割を従業員が理解していると考えるCISO の割合

 また、脅威をもたらしかねない従業員の行為(上位3つ)では、日本は「悪意のあるリンクのクリックや感染したファイルのダウンロード」(50%)、「安全でないパスワードの使用」(44%)、「フィッシングメールの被害者になること」(43%)が世界平均より3~9ポイント高くばらつきも見られたが、世界平均はいずれも40%前後であった。

事業にサイバー脆弱性のリスクをもたらすと思う従業員の行為
事業にサイバー脆弱性のリスクをもたらすと思う従業員の行為

 今後の2年間でCISOが優先する事項は、世界平均では「コアセキュリティの拡張(境界防御、EDRなど)」が35%、「リモートワーク移行のための新ソリューションへの投資」が33%、「従業員トレーニングの改善」が32%、「セキュリティオートメーションの導入」が32%などだが、日本では「セキュリティオートメーションの導入」が36%で最も高く、世界平均では28%で最も低い「セキュリティ業務のアウトソース」が日本は31%で3番目に挙げられた。

今後2年間で最も優先すべきと考えている事項
今後2年間で最も優先すべきと考えている事項

 セキュリティ予算の変化についても、今後2年間で11%以上減額するとの回答が、世界平均では3割強なのに対し、日本では約45%に上った。増田氏によれば、世界的にはセキュリティ投資の増強による対策レベルの向上を目指す動きにあるが、日本はセキュリティ運用業務の自動化を志向して業務の集約化を図り、大企業でもセキュリティ監視センター(SOC)の運用を外部委託するケースが少なくないなど、総じてセキュリティ対策を省力化する向きが強い。

今後2年間のサイバーセキュリティ予算の変化予想
今後2年間のサイバーセキュリティ予算の変化予想

 こうした状況の背景には、さまざまな要因が考えられるが、中でもセキュリティ人材の不足が大きいようだ。さらに調査では、経営層のCISOに対する期待が過度だとする回答が57%に上り、「特にデジタルトランスフォーメーション(DX)の推進とセキュリティ強化の両立をCISOに求める経営層の期待がプレッシャーになっているようだ」(増田氏)という。

 DXとセキュリティの両立という点では、セキュリティ人材に要求されるスキルなども異なるという。従来は既存のIT環境などを脅威から守るアプローチが中心だったが、DXでは新サービスや新製品を開発する段階から脅威への耐性を入れていくDevSecのアプローチが必要になる。

 増田氏は、「CISOを招いたラウンドテーブルでこの調査結果をお見せたしたところ、経営陣からDXもセキュリティも求められ、ご苦労されているという方々がいらした。サイバー攻撃などの脅威の高度化といった状況の中で、人材面については『Security by Design』を実践できる、サービス開発の観点でセキュリティを設計できるなどの新たなスキルが要求され、そうした人材の確保も課題になっている」と話す。

日本プルーフポイント シニアエバンジェリストの増田幸美氏
日本プルーフポイント シニアエバンジェリストの増田幸美氏

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]