パンデミックが世界をひっくり返して2年が経ち、組織はようやくほとんどの混乱を克服しました。しかし、情報セキュリティ最高責任者 (CISO) の仕事にゆとりが生まれたわけではありません。この1年、サイバーセキュリティの世界は忙しく動いていました。ランサムウェアによる攻撃の増加、ロシア・中国間で続く地政学的な緊張、新たなサプライチェーンの脅威などを受け、CISOが対応しなければならないことは多くありました。
変化する環境の中でのCISOの考え方を理解するために、プルーフポイントは世界各国の1,600人以上のセキュリティリーダーを対象に調査を行い、第3回目となる年次のVoice of the CISOレポートをまとめました。回答を分析した結果、CISOにとって「通常通りのビジネス」への回帰は、サイバーインシデントへの備えに関する懸念レベルの再上昇を意味することがわかりました。
CISOが重大なサイバー攻撃のリスクに関する懸念を表明
前回の調査では、パンデミックの混乱期を乗り切ったという落ち着きがCISOの間に見られました。しかし、その落ち着きは消え去りました。CISOはもう、1年前のように備えができているとは考えていません。大量退職時代 (Great Resignation) の影響が長引き、さらに解雇によって新たな問題が生じたことで、事態はますます悪くなっています。
今回の調査結果から、CISOがパンデミックの初期と同じ考えを再び抱くようになったと言えます。
- 自分の組織が重大なサイバー攻撃のリスクにさらされていると考える回答者の割合は、2021年は64%、2022年は48%でしたが、今回は68%に上りました。
- 調査を行ったCISOのうち、標的型攻撃に対処する準備ができていないと考える割合も、一昨年は66%、昨年は50%でしたが、今回は61%に上りました。
データ保護策に垣間見られる自信過剰
いっぽうで、組織のサイバーセキュリティ、特にデータ保護における人の役割には変化が見られません。調査を行ったCISOのうち、情報漏えいの経験がある回答者の82%が、その一因に離職していく従業員を挙げました。経済の見通しが不確かで、レイオフが増加傾向にあることを踏まえると、離職者によるデータ損失の問題が直ちに緩和されることは見込めません。
しかし意外にも、人的要因による脅威に対する自らの防御能力について、CISOは非常に楽観的に捉えています。過去12ヶ月で63%のCISOが機密情報の漏えいを経験したのに対し、60%が、自分の組織のデータ保護策は十分だと考えていました。
より厳しい現実が姿を現しつつある
CISOは、自分の組織を守る準備ができていないと考えているだけでなく、人に関する問題にも直面しています。過去1年間でセキュリティリーダーたちと交わした言葉からは、求められる個人的責任への不安、現在進行中の人材不足、そのほかの困難が相まって、セキュリティリーダーへの負担が増大していることが明らかでした。
最新のVoice of the CISOに参加したCISOのうち60%が、過去12ヶ月でバーンアウト (燃え尽き症候群) を経験したと回答しています。また、「自らの役割に対する期待が過剰である」と考えるCISOの割合は、2022年の49%に対し61%へと、大幅に上昇しています。
これは重大なことです。目先に待ち構えるさらに厳しい現実に自信を持って立ち向かうのであれば、CISOには迷う余地はありません。セキュリティリーダーは、規制当局の追加調査に取り組む必要があります。サイバー犯罪者が情報窃取、サプライチェーンへの攻撃を計画し、サイバー攻撃をas-a-serviceとしてアンダーグラウンドで商用化をおこない活動を活発化する中、「人」とデータを守ることはますます困難になっており、これに対する取り組みも求められます。
しかし、最新版のレポートに向けた調査では、希望の光も見い出せました。CISOとボードメンバーとの関係は改善傾向にあります。サイバーセキュリティに関して、ボードメンバーとCISOの意見が一致していると回答したCISOの割合は、62%となりました。同割合は、2021年には59%、2022年には51%でした。
また、この数年で、明るい風潮が見られるようになりました。CISOがやっと決定権を持つようになったことです。今後数ヶ月のうちに、CISOはサイバーセキュリティに関する難題への備えを進めなければなりません。よって、ボードメンバーと良い協力関係を築くことが必須であるため、これは良いタイミングだといえます。
完全版レポートを入手する
CISOに対する最新のグローバル調査の結果とその分析については、プルーフポイントが発行した「2023年 Voice of the CISOレポート」をぜひダウンロードしてご確認ください。