世界の CISO(最高情報セキュリティ責任者)が感じる仕事のやりがいとは? プルーフポイント調査 | ScanNetSecurity
2021.09.27(月)

世界の CISO(最高情報セキュリティ責任者)が感じる仕事のやりがいとは? プルーフポイント調査

日本プルーフポイントは、世界の最高情報セキュリティ責任者(CISO)が直面している主要な課題を調査した「2021 Voice of the CISO(CISO 意識調査レポート)」の日本語版を発表した。

調査・レポート・白書
今後2年間で最も優先すべきと考えている事項
  • 今後2年間で最も優先すべきと考えている事項
  • 日本プルーフポイントの代表取締役社長である茂木正之氏
  • 日本プルーフポイントのシニア エバンジェリストである増田幸美氏
  • 今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合
  • サイバー攻撃から組織を守るためにそれぞれが果たす役割を従業員が理解していると考えるCISOの割合
  • 事業にサイバー脆弱性のリスクをもたらすと思う従業員の行為
  • リモートワークに移行した後、標的型攻撃が増えたと答えたCISOの割合
  • 今後2年間のサイバーセキュリティ予算の変化
 日本のCISOと海外のCISOでは、問題意識や今後の重要領域などに、いったいどんな差があるのか、グローバルで実施された調査結果から浮かび上がった洞察を報告する。

 米Proofpoint社が世界のCISO(最高情報セキュリティ責任者)が直面する主要な課題をグローバル調査した「2021 Voice of the CISO」を公開し、6月17日に日本プルーフポイント株式会社がメディア向けのブリーフィングを実施した。

 メディア向けブリーフィングでは、同社代表取締役社長である茂木正之氏がプルーフポイントについて紹介した。米国に本拠を置く同社は、世界でやり取りされるメールの25%を保護しており、マーケットシェアをますます拡大する革新があるとした。日本市場も重視しており、UIの日本語化や日本にソリューションセンターを開設するなど積極的な投資を行っているとした。

 レポートの説明は、同社シニア エバンジェリストである増田幸美(そうた ゆきみ)氏が行った。調査は2021年1月~3月に実施され、14カ国のさまざまな業種にわたる組織(従業員200人以上)の合計1,400名のCISOを対象としている。

●CISOのサイバーリスクに対する認識

 CISOのサイバーリスクに対する認識では、「今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合」は、日本は63%とグローバル平均(64%)とほぼ同じであった。具体的にどのような脅威があるかという質問では、日本は「メール詐欺」(42%)、「DDoS攻撃」(36%)、「クラウドアカウント侵害」(34%)が上位となった。

 グローバルの平均では、「メール詐欺」(34%)、「クラウドアカウント侵害」(33%)、「内部脅威」(31%、日本は31%)、と上位に大きな変化はないが、「サプライチェーン攻撃」についてはグローバル平均が29%であるのに対し日本は19%と、サプライチェーン攻撃への認識の低さが目立った。

●人的要因によるセキュリティ上のリスク

 ヒューマンエラー(人的要因)によるサイバーセキュリティの脆弱性について、「サイバー脅威から組織を守るためにそれぞれが果たす役割を従業員が理解している」と考えるCISOの割合は、日本は71%でトップとなった(グローバル平均は58%)、また、「ヒューマンエラーが組織の最大のサイバー脆弱性である」と考えるCISOの割合は、日本は65%とグローバル平均の58%より高かった。

 「事業にサイバー脆弱性のリスクをもたらすと考える従業員の行為」では、日本では「悪意のあるリンクのクリックや感染したファイルのダウンロード」(50%)、「安全でないパスワードの使用」(44%)、「フィッシングメールの被害者になること」(43%)が上位となっており、すべてグローバル平均より高い値となった。

●CISOが持つ課題

 「技術的な負債(レガシーシステムなど)がセキュリティ脆弱性の主な原因である」と考えるCISOの割合は、日本は67%(グローバル平均は65%)であった。「リモートワーク移行後に標的型攻撃が増えた」とするCISOは、日本は54%とグローバル平均(58%)を下回った。上位はUAE(76%)、サウジアラビア(69%)、米国(65%)となっている。

 今後2年間で最も優先すべき事項では、グローバルと日本で差が出る結果となった。グローバルでは「コアセキュリティの拡張(境界防御、EDRなど)が1位(35%)、「リモートワーク移行のための新ソリューションへの投資」が2位(33%:日本も同率で2位)、「従業員トレーニングの改善」が3位(32%)となった。

・今後2年間で最も優先すべき事項(グローバル)
 1位 「コアセキュリティの拡張(境界防御、EDRなど)」35%
 2位 「リモートワーク移行のための新ソリューションへの投資」33%
 3位 「従業員トレーニングの改善」32%

 日本の1位は「セキュリティオートメーションの導入」(36%、グローバルは32%で4位)、3位は「セキュリティ業務のアウトソース」(31%、グローバルは28%で最下位)であった。

・今後2年間で最も優先すべき事項(日本)
 1位 「セキュリティオートメーションの導入」36%
 2位 「リモートワーク移行のための新ソリューションへの投資」33%
 3位 「セキュリティ業務のアウトソース」31%

 一方で、今後2年間のサイバーセキュリティ予算の変化予想で「減額する」と回答した割合は、日本はオーストラリアおよびUAE(59%)に次いで多かった(45%)。規模別で見ると、従業員数が5,001名を超える企業では増額の傾向があるものの、それ以下の企業は減額の方向性が強い結果となった。それでも、世界のCISOの65%が、今後2年で企業のサイバー攻撃への対応力や回復力が高まると回答している。

 CISOが「過度の期待を持たれている」と感じている割合は、ドイツが最も高く73%、以下アメリカ(70%)、UAE(67%)と続き、グローバル平均は57%、日本は58%であった。

 セキュリティ・バイ・デザインが重要であるとするCISOが多く、その中で実現できることと、そこに存在するリスクを把握することが必要であり、そのためには従来とは異なるタイプのセキュリティ人材が求められているとした。

 また、サイバーセキュリティの問題について経営陣と見解が一致していると考えるCISOの割合は、企業規模が大きくなるほど高くなる、つまり理解が進んでいる傾向にあった。

●CISOの “やりがい” とは

 CISOがやりがいを感じていることについては、グローバルでは「社会の役に立てるという明確な目的意識を持てる」(44%)、「技術・人・プロセス面での対策を練り、進化するリスクに対応することができる」(44%)、「役割の幅が広く、ビジネスのさまざまな面に関わることができる」(43%)が上位となった。日本は1位と2位が逆転し(46%、44%)、3位は「テクノロジーについて知ることができる」(42%)となっている。

 最後に増田氏は、「効率の薄れた境界防御と投資見直しの必要性」「高度化する脅威」「セキュリティ人材の不足」を重要経営課題に挙げた。DevSecOpsを考えているCISOも多いが、既存のメンバーをいかにつなぎ止めるかが課題となっている。多くのセキュリティ人材は、スキルやナレッジが上がると転職してしまうという。このため、留学制度やキャリアパスを導入するなど、工夫しているCISOが多いことも明らかになった。

 なお、調査結果からCISOが実力を発揮している、目標にすべき国を聞くと、増田氏はドイツ、フランス、イギリスを挙げた。ドイツは法規制が厳しく、それに対応することでセキュリティが向上しているし、フランスは国民に対するセキュリティの必要性が広く周知されており、報道も詳しい。イギリスはサイバーセキュリティの先進国であり、見習うべき国であるとした。
《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

調査・レポート・白書 アクセスランキング

  1. SNS上で誹謗中傷を受けた経験が「ある」12.0%(日本財団)

    SNS上で誹謗中傷を受けた経験が「ある」12.0%(日本財団)

  2. SNSに起因する被害を受けた18歳未満は1,819人に、Twitterが全体の35.3%に

    SNSに起因する被害を受けた18歳未満は1,819人に、Twitterが全体の35.3%に

  3. 中小企業のリスク意識と対策を調査、コロナ禍の影響を色濃く反映

    中小企業のリスク意識と対策を調査、コロナ禍の影響を色濃く反映

  4. ガートナー、2022年4月の「改正個人情報保護法」に備え企業が取り組むポイントを解説

  5. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  6. 産業制御システムに設置したハニーポット、18時間で最初の攻撃(トレンドマイクロ)

  7. Googleのパスワード管理 13 箇条 ~ 大文字と小文字区別せず、2 段階認証採用ほか

  8. JIPDECが2019年個人情報取扱事故統計を公開、最多590件はやはりメール誤送信

  9. iPhoneで推測されやすい危険なパスコードトップ10、「5683」の意味とは?(ソフォス)

  10. 「サプライチェーン攻撃」の3種の弱点につけ込む攻撃が顕在化、トレンドマイクロ解説

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×