世界の CISO(最高情報セキュリティ責任者)が感じる仕事のやりがいとは? プルーフポイント調査 | ScanNetSecurity
2024.03.29(金)

世界の CISO(最高情報セキュリティ責任者)が感じる仕事のやりがいとは? プルーフポイント調査

日本プルーフポイントは、世界の最高情報セキュリティ責任者(CISO)が直面している主要な課題を調査した「2021 Voice of the CISO(CISO 意識調査レポート)」の日本語版を発表した。

調査・レポート・白書・ガイドライン
今後2年間で最も優先すべきと考えている事項
  • 今後2年間で最も優先すべきと考えている事項
  • 日本プルーフポイントの代表取締役社長である茂木正之氏
  • 日本プルーフポイントのシニア エバンジェリストである増田幸美氏
  • 今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合
  • サイバー攻撃から組織を守るためにそれぞれが果たす役割を従業員が理解していると考えるCISOの割合
  • 事業にサイバー脆弱性のリスクをもたらすと思う従業員の行為
  • リモートワークに移行した後、標的型攻撃が増えたと答えたCISOの割合
  • 今後2年間のサイバーセキュリティ予算の変化
 日本のCISOと海外のCISOでは、問題意識や今後の重要領域などに、いったいどんな差があるのか、グローバルで実施された調査結果から浮かび上がった洞察を報告する。

 米Proofpoint社が世界のCISO(最高情報セキュリティ責任者)が直面する主要な課題をグローバル調査した「2021 Voice of the CISO」を公開し、6月17日に日本プルーフポイント株式会社がメディア向けのブリーフィングを実施した。

 メディア向けブリーフィングでは、同社代表取締役社長である茂木正之氏がプルーフポイントについて紹介した。米国に本拠を置く同社は、世界でやり取りされるメールの25%を保護しており、マーケットシェアをますます拡大する革新があるとした。日本市場も重視しており、UIの日本語化や日本にソリューションセンターを開設するなど積極的な投資を行っているとした。

 レポートの説明は、同社シニア エバンジェリストである増田幸美(そうた ゆきみ)氏が行った。調査は2021年1月~3月に実施され、14カ国のさまざまな業種にわたる組織(従業員200人以上)の合計1,400名のCISOを対象としている。

●CISOのサイバーリスクに対する認識

 CISOのサイバーリスクに対する認識では、「今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合」は、日本は63%とグローバル平均(64%)とほぼ同じであった。具体的にどのような脅威があるかという質問では、日本は「メール詐欺」(42%)、「DDoS攻撃」(36%)、「クラウドアカウント侵害」(34%)が上位となった。

 グローバルの平均では、「メール詐欺」(34%)、「クラウドアカウント侵害」(33%)、「内部脅威」(31%、日本は31%)、と上位に大きな変化はないが、「サプライチェーン攻撃」についてはグローバル平均が29%であるのに対し日本は19%と、サプライチェーン攻撃への認識の低さが目立った。

●人的要因によるセキュリティ上のリスク

 ヒューマンエラー(人的要因)によるサイバーセキュリティの脆弱性について、「サイバー脅威から組織を守るためにそれぞれが果たす役割を従業員が理解している」と考えるCISOの割合は、日本は71%でトップとなった(グローバル平均は58%)、また、「ヒューマンエラーが組織の最大のサイバー脆弱性である」と考えるCISOの割合は、日本は65%とグローバル平均の58%より高かった。

 「事業にサイバー脆弱性のリスクをもたらすと考える従業員の行為」では、日本では「悪意のあるリンクのクリックや感染したファイルのダウンロード」(50%)、「安全でないパスワードの使用」(44%)、「フィッシングメールの被害者になること」(43%)が上位となっており、すべてグローバル平均より高い値となった。

●CISOが持つ課題

 「技術的な負債(レガシーシステムなど)がセキュリティ脆弱性の主な原因である」と考えるCISOの割合は、日本は67%(グローバル平均は65%)であった。「リモートワーク移行後に標的型攻撃が増えた」とするCISOは、日本は54%とグローバル平均(58%)を下回った。上位はUAE(76%)、サウジアラビア(69%)、米国(65%)となっている。

 今後2年間で最も優先すべき事項では、グローバルと日本で差が出る結果となった。グローバルでは「コアセキュリティの拡張(境界防御、EDRなど)が1位(35%)、「リモートワーク移行のための新ソリューションへの投資」が2位(33%:日本も同率で2位)、「従業員トレーニングの改善」が3位(32%)となった。

・今後2年間で最も優先すべき事項(グローバル)
 1位 「コアセキュリティの拡張(境界防御、EDRなど)」35%
 2位 「リモートワーク移行のための新ソリューションへの投資」33%
 3位 「従業員トレーニングの改善」32%

 日本の1位は「セキュリティオートメーションの導入」(36%、グローバルは32%で4位)、3位は「セキュリティ業務のアウトソース」(31%、グローバルは28%で最下位)であった。

・今後2年間で最も優先すべき事項(日本)
 1位 「セキュリティオートメーションの導入」36%
 2位 「リモートワーク移行のための新ソリューションへの投資」33%
 3位 「セキュリティ業務のアウトソース」31%

 一方で、今後2年間のサイバーセキュリティ予算の変化予想で「減額する」と回答した割合は、日本はオーストラリアおよびUAE(59%)に次いで多かった(45%)。規模別で見ると、従業員数が5,001名を超える企業では増額の傾向があるものの、それ以下の企業は減額の方向性が強い結果となった。それでも、世界のCISOの65%が、今後2年で企業のサイバー攻撃への対応力や回復力が高まると回答している。

 CISOが「過度の期待を持たれている」と感じている割合は、ドイツが最も高く73%、以下アメリカ(70%)、UAE(67%)と続き、グローバル平均は57%、日本は58%であった。

 セキュリティ・バイ・デザインが重要であるとするCISOが多く、その中で実現できることと、そこに存在するリスクを把握することが必要であり、そのためには従来とは異なるタイプのセキュリティ人材が求められているとした。

 また、サイバーセキュリティの問題について経営陣と見解が一致していると考えるCISOの割合は、企業規模が大きくなるほど高くなる、つまり理解が進んでいる傾向にあった。

●CISOの “やりがい” とは

 CISOがやりがいを感じていることについては、グローバルでは「社会の役に立てるという明確な目的意識を持てる」(44%)、「技術・人・プロセス面での対策を練り、進化するリスクに対応することができる」(44%)、「役割の幅が広く、ビジネスのさまざまな面に関わることができる」(43%)が上位となった。日本は1位と2位が逆転し(46%、44%)、3位は「テクノロジーについて知ることができる」(42%)となっている。

 最後に増田氏は、「効率の薄れた境界防御と投資見直しの必要性」「高度化する脅威」「セキュリティ人材の不足」を重要経営課題に挙げた。DevSecOpsを考えているCISOも多いが、既存のメンバーをいかにつなぎ止めるかが課題となっている。多くのセキュリティ人材は、スキルやナレッジが上がると転職してしまうという。このため、留学制度やキャリアパスを導入するなど、工夫しているCISOが多いことも明らかになった。

 なお、調査結果からCISOが実力を発揮している、目標にすべき国を聞くと、増田氏はドイツ、フランス、イギリスを挙げた。ドイツは法規制が厳しく、それに対応することでセキュリティが向上しているし、フランスは国民に対するセキュリティの必要性が広く周知されており、報道も詳しい。イギリスはサイバーセキュリティの先進国であり、見習うべき国であるとした。
《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  2. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  3. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

    7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  4. ガートナー 2024 年 サイバーセキュリティトップトレンド

  5. サポート詐欺の電話番号「010」で始まる国際電話番号利用手口も

  6. 「起こってほしくない」を起点とした対策、制御システム向けセキュリティ対策検討手法「CCE」とは

  7. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  8. 一次通過経験ゼロ、知人にすら読んでもらえないレベルの素人がサイバーセキュリティ小説コンテスト大賞受賞に至った経緯とは

  9. 世界のスマートフォン普及台数、2011年時点で8億7,200万加入で人口普及率12%(シード・プランニング)

  10. 2018年の個人情報漏えい調査の速報値を公開、漏えい件数が増加に転じる(JNSA)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×