ソフォスは4月27日、オーストラリア、インド、日本、マレーシア、フィリピン、シンガポールのITおよびサイバーセキュリティの意思決定者900人を対象に行った、企業のサイバーセキュリティへの取り組みや意識などの調査の結果をまとめたレポート「アジア太平洋地域と日本のサイバーセキュリティの展望」を発表した。

  • 「アジア太平洋地域と日本のサイバーセキュリティの展望」の調査回答者の内訳と調査方法(2022年1月にTech Research Asiaに委託して実施)

同日には、調査レポートの概要を説明する記者説明会がオンラインで開催され、国別のサイバーセキュリティ成熟度や、企業のサイバーセキュリティ担当者がフラストレーションを感じることなどが紹介された。

同調査によれば、調査を実施した6カ国ともサイバーセキュリティの支出は2021年度より増加しており、平均してテクノロジー予算の11%を占めている。

また、回答者の60%は、サイバーセキュリティベンダーが経営幹部を教育・啓蒙するために必要な情報を提供していないと考えており、「従業員とリーダーの意識向上と教育」を今後24カ月間のセキュリティに関する最大の課題とみなしている回答者は88%だった。

調査結果を踏まえて、ソフォスは「ランサムウェアのインシデント数、影響、コストが増加している状況にも関わらず、多くの経営幹部はサイバーセキュリティに対する認識が甘く、自社が決して攻撃を受けることはないと考えていることが明らかになった」と結論づけ、企業の従業員だけでなく、経営幹部も含めた教育・トレーニングの重要性を指摘した。

【関連記事】
≪ニューリジェン、AI技術用いたクラウドセキュリティ運用支援サービス提供≫
≪脆弱性管理クラウド「yamory」がコンテナイメージの脆弱性を自動検知する機能≫

同調査では、2019年からサイバーセキュリティの成熟度の自己評価を聞いている。今回の調査では、「定量的に評価・管理」「最適化済み」の回答が増えていることから、成熟度、能力、サイバーセキュリティ環境の理解度については継続的に向上しているとみなす。 だが、国別のサイバーセキュリティ成熟度には、当然ながらバラつきがある。特に日本は、サイバーセキュリティの機能導入の「計画なし」や、成熟度の「初期段階」の回答が他国に比べて多かった。

  • 国別のサイバーセキュリティの成熟度(回答者による自己評価)

説明会に登壇したソフォス シニアセールスエンジニアの新地通宏氏は、「マネジメント層のコントロールにより、企業内におけるセキュリティの重要度を上げることが重要だ」と述べた。

  • ソフォス シニアセールスエンジニア 新地通宏氏

企業内でサイバーセキュリティに対する意識を高め、実効性のある対策に取り組むためには、トップダウンによる方針決定が欠かせない。しかし、企業のサイバーセキュリティ担当者と経営幹部との間には、いまだにギャップがあるようだ。

同レポートではこれまで、サイバーセキュリティのプロフェッショナルに対して、「自社やセキュリティ業務で最もフラストレーションを感じること」を継続して聞いている。今回の調査では「経営陣は自社が攻撃されることは決してないと考えている」の回答者数が最も多かった。

また、「経営陣は今後自社が攻撃されると予想しているが、攻撃を阻止する方法はないと考えている」は毎年、回答者数が増え、今回は上位5位以内に入った。

  • サイバーセキュリティのプロフェッショナルがフラストレーションに感じること

サイバーセキュリティのプロフェッショナルに対して、「自社の経営幹部がサイバーセキュリティを本当に理解していると思うか」と聞いた設問では、「非常にそう思う」との回答は約4割に留まった。

  • サイバーセキュリティのスペシャリストは経営幹部の理解度を疑問視

「日本企業のみの調査結果も同様であり、サイバーセキュリティのプロフェッショナルは経営幹部の理解度に疑問を感じているといえる。仮に、経営幹部の理解度が高ければ、調査結果も異なっているはずで、多くの企業の実態は深刻な状況にあるのではないか」と新地氏は分析した。

併せて、各国における向上するべきスキルの優先順位の調査結果も公開された。日本では「従業員と経営幹部のトレーニング」がトップとなったが、それ以外の多くの国では「クラウドセキュリティポリシー/アーキテクチャの知識」が挙がった。

  • 各国におけるサイバーセキュリティ対策で優先するスキル上位3つ

そうした、調査結果を踏まえて、ソフォスは企業が抱えるサイバーセキュリティの問題解決には「テクノロジーではなく、教育」が必要と結論づける。セキュリティ対策のプロダクトやテクノロジーは今後も進化されていく一方で、セキュリティを強化においては、それらを利用するユーザーの能力が必要になるからだ。

「サイバーセキュリティ担当者がフィルタリングを導入するにしても、攻撃手法を熟知して技術面での理解がなければ、適切な防御態勢は構築できない。また、電子メールのリンクをクリックするなど初歩的なミスはまだ多く、意識改革や気付きを得られる教育が必要だ。また、経営幹部のサイバーセキュリティへの理解を深め、プロフェッショナルのフラストレーションを取り除くためには、経営幹部や役員に対する教育キャンペーンを継続的に実施して、参加してもらうことが重要だ」(新地氏)