日本プルーフポイントは、企業の取締役や最高情報セキュリティ責任者(CISO)を対象にしたセキュリティ意識に関する年次調査の最新結果「取締役会におけるサイバーセキュリティの展望2023」を発表した。それによれば、両者の間に見られてきた認識のズレが改善されていることが分かった。
調査は、日本を含む12カ国で従業員5000人以上の組織の取締役659人を対象に実施し、50人以上の取締役に面談も行った。今回の同社の発表では、日本と世界の取締役およびCISOの状況を分析した結果を示した。
まず、最近話題の生成AIについては、日本の取締役では79%、世界平均では59%が組織のセキュリティリスクだと見なしていた。自社が大規模なサイバー攻撃を受けるリスクがあると感じているのは、日本の取締役では84%、世界平均では73%に上り、2022年の前回調査から日本では12ポイント、世界では8ポイント増加した。
取締役会でサイバーセキュリティが優先順位の高い課題と認識しているのは、日本の取締役では87%、世界の取締役では73%。サイバーセキュリティに十分な投資をしていると考えるのは、日本の取締役では79%、世界の取締役では70%。今後1年間でサイバーセキュリティ予算が増加するとしたのは、日本の取締役では87%、世界の取締役では84%だった。しかし、今後1年間における組織のサイバー攻撃対策の準備ができていないとの回答も日本の取締役では63%、世界の取締役では53%に上った。
最も懸念する脅威の対象については、以下のように取締役とCISOで見解が分かれた。
日本の取締役
- 内部脅威(51%)
- クラウドアカウント侵害(41%)
- マルウェア(38%)
日本のCISO
- メール詐欺やビジネスメール詐欺(45%)
- ランサムウェア攻撃(34%)
- サプライチェーン攻撃(34%)
世界の取締役
- マルウェア(40%)
- 内部脅威(36%)
- クラウドアカウント侵害(36%)
世界のCISO
- メール詐欺やビジネスメール詐欺(33%)
- 内部脅威(30%)
- クラウドアカウント侵害(29%)
組織における最大のリスクが「人的ミス」だと考えるのは、日本の取締役が75%、世界の取締役が63%、日本のCISOが70%、世界のCISOが60%で、おおむね意見が一致した。組織のデータ保護能力に自身があるとしたのは、日本では取締役が76%、CISOが71%とおおむね一致したが、世界では取締役が75%、CISOが60%と認識にズレが見られた。
取締役におけるセキュリティへの要望は、日本では「技術管理の向上」(49%)、「予算規模の拡大」(46%)、「より経験豊富なCISO」(37%)が挙げられた。世界では「予算規模の拡大」(37%)、「サイバーリソースの増加」(35%)、「脅威インテリジェンスの向上」(35%)だった。
CISOとのコミュニケーション状況については、日本の取締役の52%、世界の取締役の53%が定期的に行っているとし、前年と比較して日本では3ポイント、世界では6ポイントの改善が見られた。また、経営層とCISOの意見がおおむね一致しているとしたのは、日本の取締役が63%、日本のCISOが80%、世界の取締役が65%、世界のCISOが62%だった。
調査結果について米Proofpoint サイバーセキュリティ戦略担当副社長のRyan Kalember氏は、「取締役会とCISOの間で、サイバーリスクとその対策に関する新たな連携が見られるようになったことは、両者がより緊密に連携し、進展していることを示す前向きな兆候。しかし、取締役会がリスクに対処するために投資している時間とリソースに満足しているにもかかわらず、この連携の進展はサイバーセキュリティ体制に大きな変化をもたらしていない」と指摘。両者の強力なパートナーシップがこれまで以上に重要であることを理解すべきだとし、取締役会が十分な情報を得た上で戦略的な意思決定を行い、前向きな成果を上げることができるよう、CISOとより深く生産的な対話を推進しなければならないと解説している。