セキュリティ企業のソフォスは4月27日、セキュリティ調査レポート「アジア太平洋地域と日本のサイバーセキュリティの展望」の第3版を発表した。サイバーセキュリティ戦略で問題なのは、テクノロジーではなく、教育だとした。
同調査は、Tech Research Asia(TRA)の協力でアジア太平洋および日本のサイバーセキュリティ環境について、日本、マレーシア、フィリピン、シンガポール、オーストラリア、インドの計900人(うち日本は200人)を対象に実施されている。
サイバーセキュリティ対策の成熟度について、各国において「管理下にある」「明確化」「定量化に評価・管理」「最適化済み」といった評価が一定数ある一方で、日本は他国に比べて、「計画なし」(9%)、「初期段階」(7%)が多い結果となった。「さらなる最適化が今後の課題の1つ。マネージメント側のコントロールに成熟度を上げるのが重要」とシニアセールスエンジニアの新地通宏氏は述べた。
サイバーセキュリティ戦略の実行について、「最高情報セキュリティ責任者(CISO)がいる」との回答が35%、「最高情報責任者(CIO)といったITエグゼクティブが主に担当している」が34%、「全ての経営幹部がセキュリティ関連の明確な職務を与えられている」が31%だった。組織におけるサイバーセキュリティの運用は、IT部門による兼任対応が多くなっていると新地氏は述べる。
サイバーセキュリティのアプローチに大きな変更を加えたのは12〜24カ月前が31%だった。マルウェアなどが日々進化していることを考えると、1〜2年前と同じ状態のままというのは対応を難しくすると新地氏。ただし、2022年は2021年に比べ、「過去6カ月以内」が12%から15%、「定期的(毎四半期)」が8%から9%とわずかながらも増加しており、意識の変化が見られるという。
教育に関する状況に目を向けると、「今後24カ月のセキュリティに関する最大の課題は、従業員とリーダーの意識向上と教育である」という設問に対し、「全面的にそう思う」「ややそう思う」との回答が合計で9割近くに上った。
セキュリティ業務で最もフラストレーションを感じるのは何かという設問では、攻撃に対する楽観的な考えやあきらめが上位に挙げられた。「経営陣は自社が攻撃されることは決してないと考えている」が2021年の7位から2022年は1位に上昇した。一方、「経営陣は今後自社が攻撃されると予想しているが、攻撃を阻止する方法がないと考えている」も2021年の8位から2022年は4位に上昇した。
「経営幹部は、サイバーセキュリティについて本当に理解していると思うか」という設問に対して、半数近くが何らかの疑問を感じているとの回答をしている。日本の場合も同様で、「全くそう思わない」が10%、「ややそう思う」が44%という結果だった。経営幹部の理解が今後重要になってくると新地氏は述べる。