世界の CISO（最高情報セキュリティ責任者）が感じる仕事のやりがいとは？プルーフポイント調査

　日本のCISOと海外のCISOでは、問題意識や今後の重要領域などに、いったいどんな差があるのか、グローバルで実施された調査結果から浮かび上がった洞察を報告する。

　米Proofpoint社が世界のCISO（最高情報セキュリティ責任者）が直面する主要な課題をグローバル調査した「2021 Voice of the CISO」を公開し、6月17日に日本プルーフポイント株式会社がメディア向けのブリーフィングを実施した。

　メディア向けブリーフィングでは、同社代表取締役社長である茂木正之氏がプルーフポイントについて紹介した。米国に本拠を置く同社は、世界でやり取りされるメールの25％を保護しており、マーケットシェアをますます拡大する革新があるとした。日本市場も重視しており、UIの日本語化や日本にソリューションセンターを開設するなど積極的な投資を行っているとした。

　レポートの説明は、同社シニアエバンジェリストである増田幸美（そうたゆきみ）氏が行った。調査は2021年1月～3月に実施され、14カ国のさまざまな業種にわたる組織（従業員200人以上）の合計1,400名のCISOを対象としている。

●CISOのサイバーリスクに対する認識

　CISOのサイバーリスクに対する認識では、「今後12カ月間に組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合」は、日本は63％とグローバル平均（64％）とほぼ同じであった。具体的にどのような脅威があるかという質問では、日本は「メール詐欺」（42％）、「DDoS攻撃」（36％）、「クラウドアカウント侵害」（34％）が上位となった。

　グローバルの平均では、「メール詐欺」（34％）、「クラウドアカウント侵害」（33％）、「内部脅威」（31％、日本は31％）、と上位に大きな変化はないが、「サプライチェーン攻撃」についてはグローバル平均が29％であるのに対し日本は19％と、サプライチェーン攻撃への認識の低さが目立った。

●人的要因によるセキュリティ上のリスク

　ヒューマンエラー（人的要因）によるサイバーセキュリティの脆弱性について、「サイバー脅威から組織を守るためにそれぞれが果たす役割を従業員が理解している」と考えるCISOの割合は、日本は71％でトップとなった（グローバル平均は58％）、また、「ヒューマンエラーが組織の最大のサイバー脆弱性である」と考えるCISOの割合は、日本は65％とグローバル平均の58％より高かった。

　「事業にサイバー脆弱性のリスクをもたらすと考える従業員の行為」では、日本では「悪意のあるリンクのクリックや感染したファイルのダウンロード」（50％）、「安全でないパスワードの使用」（44％）、「フィッシングメールの被害者になること」（43％）が上位となっており、すべてグローバル平均より高い値となった。

●CISOが持つ課題

　「技術的な負債（レガシーシステムなど）がセキュリティ脆弱性の主な原因である」と考えるCISOの割合は、日本は67％（グローバル平均は65％）であった。「リモートワーク移行後に標的型攻撃が増えた」とするCISOは、日本は54％とグローバル平均（58％）を下回った。上位はUAE（76％）、サウジアラビア（69％）、米国（65％）となっている。

　今後2年間で最も優先すべき事項では、グローバルと日本で差が出る結果となった。グローバルでは「コアセキュリティの拡張（境界防御、EDRなど）が1位（35％）、「リモートワーク移行のための新ソリューションへの投資」が2位（33％：日本も同率で2位）、「従業員トレーニングの改善」が3位（32％）となった。

・今後2年間で最も優先すべき事項（グローバル）
　1位「コアセキュリティの拡張（境界防御、EDRなど）」35％
　2位「リモートワーク移行のための新ソリューションへの投資」33％
　3位「従業員トレーニングの改善」32％

　日本の1位は「セキュリティオートメーションの導入」（36％、グローバルは32％で4位）、3位は「セキュリティ業務のアウトソース」（31％、グローバルは28％で最下位）であった。

・今後2年間で最も優先すべき事項（日本）
　1位「セキュリティオートメーションの導入」36％
　2位「リモートワーク移行のための新ソリューションへの投資」33％
　3位「セキュリティ業務のアウトソース」31％

　一方で、今後2年間のサイバーセキュリティ予算の変化予想で「減額する」と回答した割合は、日本はオーストラリアおよびUAE（59％）に次いで多かった（45％）。規模別で見ると、従業員数が5,001名を超える企業では増額の傾向があるものの、それ以下の企業は減額の方向性が強い結果となった。それでも、世界のCISOの65％が、今後2年で企業のサイバー攻撃への対応力や回復力が高まると回答している。

　CISOが「過度の期待を持たれている」と感じている割合は、ドイツが最も高く73％、以下アメリカ（70％）、UAE（67％）と続き、グローバル平均は57％、日本は58％であった。

　セキュリティ・バイ・デザインが重要であるとするCISOが多く、その中で実現できることと、そこに存在するリスクを把握することが必要であり、そのためには従来とは異なるタイプのセキュリティ人材が求められているとした。

　また、サイバーセキュリティの問題について経営陣と見解が一致していると考えるCISOの割合は、企業規模が大きくなるほど高くなる、つまり理解が進んでいる傾向にあった。

●CISOの “やりがい” とは

　CISOがやりがいを感じていることについては、グローバルでは「社会の役に立てるという明確な目的意識を持てる」（44％）、「技術・人・プロセス面での対策を練り、進化するリスクに対応することができる」（44％）、「役割の幅が広く、ビジネスのさまざまな面に関わることができる」（43％）が上位となった。日本は1位と2位が逆転し（46％、44％）、3位は「テクノロジーについて知ることができる」（42％）となっている。

　最後に増田氏は、「効率の薄れた境界防御と投資見直しの必要性」「高度化する脅威」「セキュリティ人材の不足」を重要経営課題に挙げた。DevSecOpsを考えているCISOも多いが、既存のメンバーをいかにつなぎ止めるかが課題となっている。多くのセキュリティ人材は、スキルやナレッジが上がると転職してしまうという。このため、留学制度やキャリアパスを導入するなど、工夫しているCISOが多いことも明らかになった。

　なお、調査結果からCISOが実力を発揮している、目標にすべき国を聞くと、増田氏はドイツ、フランス、イギリスを挙げた。ドイツは法規制が厳しく、それに対応することでセキュリティが向上しているし、フランスは国民に対するセキュリティの必要性が広く周知されており、報道も詳しい。イギリスはサイバーセキュリティの先進国であり、見習うべき国であるとした。