CISO(Chief Information Security Officer / 最高情報セキュリティ責任者)にとって 2021 年は、破壊的な大規模サイバー攻撃が多数発生し、組織が厳戒態勢に置かれた困難な 1 年でした。新型コロナウイルスのパンデミック開始から 2 年が経過し、各企業や組織はニューノーマルに適応しつつあります。しかしコロナ禍の影響で、Great Resignation (大量退職時代)がはじまり、また同時にロシアによるウクライナ侵攻などの地政学的な緊張が高まる中、CISO が懸念すべき事項はますます多くなりました。
サプライチェーンからのリスク、重要インフラに対するサイバー脅威の高まり、さらにセキュリティ人材不足の深刻化などの課題がある中、セキュリティのリーダーである CISO はどのように対処しているのでしょうか。プルーフポイントは、CISO の考え方を理解するために、世界 14か国の 1,400 人の CISO を対象に調査を行い、彼らの考えと知見を第二回目となる CISO 意識調査レポート「2022 Voice of the CISO」にまとめました。予想外の結果もありましたが、全体として CISO が組織のセキュリティ対策に自信を深めていることがわかり、勇気づけられるものとなりました。
サイバー脅威が拡大し続け、少ないリソースで効果的に対応しなければならないというプレッシャーの中、「今後 12ヶ月間に自分の組織が重大な攻撃を受ける危険性があると感じている」CISO の割合は昨年度の 64 % から、今年度は 48 % に減少しました。これは、新型コロナウイルスのパンデミックによるテレワークへの一通りの対応が完了し、CISO の自信にあらわれていると考えられます。2020 年にパンデミックへの対応と、新しいニューノーマルにおける防御の強化を実施した結果、サイバー脅威が猛威を奮い続けている中でも、新しいセキュリティのレベルを保っているのです。
今年度、「今後 1 年間に組織に影響を与える最大のサイバーリスク」としてグローバルの CISO に考えられている脅威は「内部脅威」となりました。昨年度の第 3 位から順位をあげた形となります。日本においても同様に内部脅威が 1 位となりました(図1参照) 。人間の行動が、過失や不注意であれ、悪意をもった犯罪であれ、組織内でデータ損失や情報漏えいを引き起こす「人」の脆弱性が注目されているためでしょう。さらに、グローバルCISO の 56 % が「自組織の最大のサイバー脆弱性はヒューマンエラーである」と考えています。
ランサムウェアによる大規模なサイバー攻撃がニュースを賑わす中、経営陣のサイバーリスクに対する意識は高まり、ランサムウェアは組織にとっての重要課題へと押し上げられました。世界の CISO の 58 % がサイバー保険に加入しており、5 人に 3 人が検知・対応戦略よりも防止に重点を置いています。しかし、リスクが高まっているにもかかわらず、CISO の 42 % は、身代金支払いに関するポリシーを策定していないことを認めています。
●CISOの役割の変化
良いニュースとしては、経営陣がサイバーリスクをさらに強く認識するようになったことから、CISO の重要性が認識されていることです。今年調査した CISO のうち、「自らの役割に対する期待が過剰である」と考える CISO は 49 % で、昨年 2021 年の 57 % から減少しました。
今回の調査では、情報保護対策と従業員へのサイバーセキュリティ啓蒙教育が、依然として CISO の今後の最優先事項の最上位にあることがわかりました。CISO の戦略的役割が高まるにつれ、CISO は組織のリスク管理においてより大きな役割を果たすことができるようになっています。本レポートでは、CISO がより大きな脅威と同様に大きな責任を伴う新時代を受け入れ、その仕事に情熱を持ち続けていることを示しています。
2022 年版「Voice of the CISO Report」の全調査結果については、https://www.proofpoint.com/jp/resources/white-papers/voice-of-the-ciso-report より全文をダウンロードしてご覧ください。
