日本プルーフポイントは6月17日、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の意識調査レポート「2021 Voice of the CISO」の日本語版を発表し、同日に説明会を開催してレポートの注目すべき点を紹介した。

同調査は、アメリカ、カナダ、イギリス、フランス、ドイツ、イタリア、スペイン、スウェーデン、オランダ、UAE、サウジアラビア、オーストラリア、日本、シンガポールのそれぞれ100人のCISOを対象に実施された。

冒頭、代表取締役社長の茂木正之氏は、「われわれは、世界で流通しているメールの25%を保護しているが、今後、メール保護サービスの市場でシェアをさらに伸ばしていく構えだ。日本でも、われわれの製品は注目を集めている」と語っていた。

  • 日本プルーフポイント 代表取締役社長 茂木正之氏

レポートの説明は、シニアエバンジェリストの増田幸美氏が行った。今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合は、世界平均が64%だったのに対し、日本は63%と世界平均と変わらない結果となった。

  • 日本プルーフポイント シニアエバンジェリスト 増田幸美氏

今後1年間に考えられる最大のサイバーセキュリティの脅威については、世界平均は上から「ビジネスメール詐欺」「クラウドアカウント侵害」「内部脅威」となったのに対し、日本は「ビジネスメール詐欺」「DDoS攻撃」「クラウドアカウント侵害」と、世界平均とは異なる結果が出た。なお、サプライチェーン攻撃の可能性を上げた割合が世界平均29%に対し、日本は19%となっていることについて、増田氏は「日本はサプライチェーン攻撃についてあまり知られていないが、実際には日本も影響を受けている。もっと認知度を上げていく必要がある」と指摘していた。

  • 今後1年間に考えられる最大のサイバーセキュリティの脅威(上位3つ) 資料:「2021 Voice of the CISO」

また、従業員がサイバー脅威から組織を守る役割を担っていることを理解している割合は、日本のCISOは71%とグローバルのCISOより13%多い結果となった。一方、日本のCISOの65%は、依然としてヒューマンエラーが組織のサイバー攻撃に対する最大の脆弱性であると考えていることも明らかになっている。

日本のCISOは、従業員がビジネスを危険にさらす可能性の高い方法として、「悪意のあるリンクをクリックすること」「危険なファイルをダウンロードすること」「安全なパスワードを使用していないこと(パスワードを変更しない、または再利用する)」「フィッシングメールの被害に遭うこと」を挙げている。

増田氏は、「2021 Voice of the CISO」で取り上げていないけれど、興味深い結果として、「技術的な負債がセキュリティ脆弱性の主な原因である」と回答した日本のCISOが最も多かったことを紹介した。その割合は、「とても当てはまる」という回答が41%、「やや当てはまる」が26%と、約7割を占めている。技術的な負債とは、いわゆるレガシーなアプリケーションを指す。この背景について、増田氏は「メインフレームなどの利用が多い日本ならではの結果だが、日本のCISOの危機意識が高い表れともいえる」と語っていた。

  • 技術的な負債がセキュリティ脆弱性の主な原因と考えている日本のCISOが一番多い 資料:「2021 Voice of the CISO」

もう1つ、日本の結果において特筆すべき点として、増田氏はセキュリティ投資の低さを挙げた。今後2年間のサイバーセキュリティ予算の変化予想について聞いたところ、多くの国でサイバーセキュリティ予算が増加すると予想する中、Australia/UAE(59%)に次いで、日本は45%が減額すると予想している。これを企業規模別で見ると、従業員数5001名を上回る企業では増額が見込まれるが、それ以外では減額される方向性が強いという。

最後に、増田氏はサイバー攻撃による事業継続性のリスクは重要な経営課題であるとして、具体的な課題として「効果の薄れた境界防御」「高度化する脅威」「セキュリティ人材不足」を挙げた。

自在不足について、増田氏は「DevSecOpsを広げる必要があり、自動化や機械化につなげていくことも大切。また、日本のCISOはナレッジを蓄積したセキュリティ人材が転職しやすくなることを憂慮しており、いかにして既存のメンバーをつなぎとめておくかということに注力しており、優秀なエンジニアには留学などの選択肢を与えている企業もある」と説明していた。