プルーフポイントは、学際的研究コンソーシアムの「Cybersecurity at MIT Sloan」(CAMS)との共同調査の報告書「Cybersecurity: The 2022 Board Perspective(取締役会におけるサイバーセキュリティの展望 2022)」を発表した。
これによると、回答者の77%はサイバーセキュリティが取締役会における最優先事項だと考えており、76%は少なくとも月に1度このテーマについて議論していることが分かった。さらに回答者の75%は取締役会が組織の直面する「システミックリスク」(ある市場もしくは特定の決済システムなどが機能不全に陥ることにより、他の金融機関や市場、あるいは金融システム全体に波及するリスク)を明確に理解していると考え、76%がサイバーセキュリティに対して適切な投資を行っていると述べていることも分かった。
日本の主な調査結果は、巧妙なサイバー犯罪者がもたらすリスク評価に対し、取締役会とCISO(最高情報セキュリティ責任者)の間に憂慮すべき認識のずれがあることも分かった。今後1年間に自らの組織が重大なサイバー攻撃を受けるとの意見に同意すると回答した日本のボードメンバー(取締役会)は72%(世界平均65%)で、日本のCISOでは38%(世界平均48%)だった。
今後1年間に自らの組織が重大なサイバー攻撃を受けるとの意見に同意するボードメンバーとCISOの割合
この調査は、世界12カ国(日本、英国、米国、カナダ、フランス、ドイツ、イタリア、スペイン、オーストラリア、シンガポール、ブラジル、メキシコ)において、従業員5000人以上の組織のボードメンバー600人を対象にしている。また、各市場で50人のボードメンバーと面談を実施。CAMSと連携して回答を分析し、得られた知見をまとめた。
日本におけるその他の主な調査結果では、日本のボードメンバーの38%が「クラウドアカウント侵害」を最も懸念しており、次いで「DDoS(分散型サービス妨害)攻撃」が34%、「内部脅威」が32%となっている。それらに対し日本のCISOが最も懸念する脅威として「内部脅威」「スミッシング/ビッシング攻撃」「ランサムウェア攻撃」が挙げられている。
世界の平均値として、ボードメンバーの最大の懸念事項が「メール詐欺/ビジネスメール詐欺(BEC)」で41%、次いで「クラウドアカウント侵害」が37%、「ランサムウェア攻撃」が32%となっている。また世界のCISOでは「メール詐欺/BEC」や「クラウドアカウント侵害」も最も懸念していることの1つに挙げられているが、「内部脅威」を最大の脅威と捉えていた。一方、役員では「内部脅威」への懸念が低いと結果になった。
サイバーインシデントでの最大の懸念事項については、日本のボードメンバーでは「業務評価への影響」が40%、次いで「内部データの流出」が32%だった。日本のCISOは「オペレーションの中断」や「風評被害」をより懸念していることも分かった。
この問題に対する世界の平均値は、ボードメンバーの懸念事項のトップが「内部データの流出」で37%、次いで「風評被害」が34%、「売上の損失」が33%となっている。CISOでは「長時間のダウンタイム」(37%)、「オペレーションの中断」(36%)、「業務評価への影響」(36%)で、ボードメンバーとはいずれも対照的な結果だった。
日本のボードメンバーの74%(世界平均67%)は、ヒューマンエラーが最大のサイバー脆弱性であると回答し、サイバーセキュリティに果たす「人」の重要性を強く認識していることが分かった。また80%は、組織が合理的な期間内に重要なサイバーインシデントを政府に報告するように求められるべきだと考えている。これに同意しないのは、わずか6%(世界平均6%)だった。
日本のボードメンバーの82%(世界平均75%)は、ボードメンバーが組織のシステミックリスクを理解していると回答し、82%(世界平均76%)のメンバーがサイバーセキュリティに適切な投資を行っていると考え、78%(世界平均75%)はデータが安全に保護されていると考えていた。
しかし72%(世界平均47%)は、今後12カ月間に自分の組織がサイバー攻撃に対処する準備ができていないと考えていることも分かった。
相手と意見が一致していると回答したボードメンバーとCISOの割合
日本のボードメンバーの61%(世界平均69%)は、CISOと意見が一致していると回答。しかし日本のCISOの52%(世界平均51%)だけが同じように感じているという結果だった。
