日本プルーフポイント(以下、プルーフポイント)は、2回目となる年次レポート「Cybersecurity:The 2023 Board Perspective」の日本語版「取締役会におけるサイバーセキュリティの展望2023」を発表した。
同レポートは、世界的な脅威状況、サイバーセキュリティの優先順位、情報セキュリティ最高責任者(CISO)との関係性に関するボードメンバーの視点について、企業の上層部(ボードメンバー)における見解を調査したもの。同調査では、世界12ヵ国(日本、米国、カナダ、英国、フランス、ドイツ、イタリア、スペイン、オーストラリア、シンガポール、ブラジル、メキシコ)において、様々な業種にわたる従業員5,000人以上の組織におけるボードメンバー659人を対象にグローバルな第三者調査を実施。また、2023年6月に12ヵ国の各市場で、50人以上のボードメンバーを対象に面談が行われたとしている。
同調査について、日本における回答をグローバル全体の回答(平均値)と比較した主な結果は以下のとおり。
取締役会は生成AIに注視している
調査対象者となった日本のボードメンバーの79%(世界平均:59%)が、AI技術を組織のセキュリティリスクとみなしているという。
日本のボードメンバーのサイバーリスクに対する懸念が前年より高まっている
調査対象者の84%(世界平均:73%)が、自社が大規模なサイバー攻撃を受けるリスクがあると感じており、2022年の72%(世界平均:65%)より増加している。
「認識と資金」は「準備体制」につながらない
日本のボードメンバーの87%(世界平均:73%)は、サイバーセキュリティが取締役会にとって優先順位が高いことに同意し、76%(世界平均:72%)は取締役会が直面しているサイバーリスクを明確に理解していると考えている。また、日本のボードメンバーの79%(世界平均:70%)は、サイバーセキュリティに十分な投資を行っていると考え、87%(世界平均:84%)は今後1年の間でサイバーセキュリティ予算は増加すると考えているとのこと。しかし、これらの努力が準備体制の強化につながっているわけではなく、63%(世界平均:53%)は、今後1年の間に組織がサイバー攻撃に対処する準備ができていないと考えているという。
懸念する最大の脅威について、日本のボードメンバーとCISOの認識は一致していない
日本のボードメンバーの51%は、「内部脅威」を最も懸念しており、次いで「クラウドアカウント侵害」が41%、「マルウェア」が38%となっている。それに対し、CISOは、最も懸念する脅威として「メール詐欺/ビジネスメール詐欺(BEC)」(45%)、「ランサムウェア攻撃」(34%)、「サプライチェーン攻撃」(34%)を挙げている。
一方、世界のボードメンバーの最大の懸念事項は「マルウェア」で40%、次いで「内部脅威」が36%、「クラウドアカウント侵害」が36%となっている。また、世界のCISOが最も懸念している脅威は、「メール詐欺/ビジネスメール詐欺(BEC)」の33%、「内部脅威」の30%、「クラウドアカウント侵害」の29%となっており、世界のボードメンバーとCISOは「内部脅威」と「クラウドアカウント侵害」において、認識を一致させているという。
人がもたらすリスクとデータ保護の分野で日本のボードメンバーとCISOの意見はほぼ同じ
ヒューマンエラーが最大のリスクであることに、日本のボードメンバーの75%(世界平均:63%)と日本のCISOの70%(世界平均:60%)は意見が一致している。また、組織のデータ保護能力に対して、76%の日本のボードメンバーと71%のCISOの同程度が自信をもっているとのこと。一方、世界のボードメンバーは75%が組織のデータ保護能力に自信をもっており、それに対し世界のCISOは60%しかこの見解に同意していないとしている。
「技術管理の向上」「予算規模の拡大」「より経験豊富なCISO」が取締役会の要望リストの上位を占めている
日本のボードメンバーの49%が、自分の組織のサイバーセキュリティに「技術管理の向上」を求めており、46%が「予算規模の拡大」、37%が「より経験豊富なCISO」が必要であると回答。一方、世界のボードメンバーの37%が、「予算規模の拡大」は組織のサイバーセキュリティにメリットがあると回答し、35%が「サイバーリソースの増加」、35%が「脅威インテリジェンスの向上」を望んでいるという。
取締役会とCISO間のコミュニケーションは徐々に改善されている
日本のボードメンバーの52%(世界平均:53%)が、セキュリティリーダーと定期的にコミュニケーションを取ると回答。昨年の49%(世界平均:47%)から微増したものの、取締役会の半数近くがCISOと経営幹部の強力な関係が築かれていないことに変わりはないという。しかし、ボードメンバーとCISOがコミュニケーションを行った場合、彼らの意見は概ね一致しており、ボードメンバーの63%(世界平均:65%)がCISOと意見が一致していると回答し、CISOの80%(世界平均:62%)が同意見となっている。
個人的責任は、取締役会とCISOにとって同じ懸念事項である
日本のボードメンバーの83%(世界平均:72%)が、自分の組織でサイバーセキュリティインシデントが発生した場合の個人の責任について懸念があり、CISOの71%(世界平均:62%)も同意見となっているという。
プルーフポイント サイバーセキュリティエバンジェリストの増田幸美氏は次のように述べている。
「地政学的な緊張から日本に着弾するサイバー攻撃は激化しており、サプライチェーンを経由した攻撃による影響で業務が停止する被害が相次いでいます。一方で、コロナ禍の影響で転職市場が活性化し、大量転職時代が到来したことにより、退職者が持ち出す情報についても注意をしなければならなくなりました。外部からの攻撃から情報を守ることと同時に、内部からの情報漏えいについても、考え直す転換期に来ています。日本はとかくぬるま湯につかるカエルのような状況にいますが、今一度、情報は企業価値でもあり、国の優位性を保つものでもあることを認識する必要があります。経営陣はサイバーセキュリティが経営課題であることを認識し、率先してその責任を果たすべくリーディングすることが当然の責務となっています」
【関連記事】
・プルーフポイント、AIやMLを活用して脅威を阻止する統合ソリューション発表
・攻撃者はスキルやツールを強化──プルーフポイントが「Human Factor 2023」発表
・日本のCISOの7割、サイバー攻撃への準備ができていないと回答──プルーフポイントが調査結果を発表
