読者の皆さまも既にご承知の通り、新型コロナウイルスによるパンデミックの影響で、短期間のうちに全世界で在宅勤務へのシフトが行われ、企業のネットワークに対する外部からのアクセスが急増した。このような急激な状況変化は、サイバー攻撃に対する脆弱(ぜいじゃく)性につながりかねない。本報告書ではこのような背景を踏まえて、企業のCISOが現状のリスクや今後の課題などをどのように認識しているかを探ろうとするものである。

図1は、今後12カ月の間に自組織が重大なサイバー攻撃を受けるリスクにさらされていると認識しているCISOの割合を国別に表したものである。英国、ドイツ、スウェーデンが僅差で上位に並んでおり、日本はおおむね平均値となっている。

画像を拡大 図1. 今後12カ月の間に自組織が重大なサイバー攻撃を受けるリスクにさらされていると認識しているCISOの割合(出典:Proofpoint / 2021 Voice of the CISO Report)

ちなみに業種別でみると、最も高いのは小売業の83%となっている。逆に最も低いのが公的機関で、24%のCISOが重大なサイバー攻撃を受けるリスクは低いと認識しているとのことである。一口に「公的機関」と言っても多種多様な組織が含まれるので、一概には言えない面もあるが、市民の個人情報やプライバシーなどに関する大量の情報を扱っている組織や、社会インフラの維持に関する重要な役割を担っている組織もあり、実際にサイバー攻撃によって社会インフラが機能不全に陥った事例も発生しているので、公的機関におけるリスクの認識はもっと高くあるべきなのではないかと感じる。

また、リスクに関してこのように認識されている一方で、CISOの66%はサイバー攻撃に立ち向かうための準備がいまだに不十分であると回答している。特にオランダ、ドイツ、スウェーデンの3カ国では、「不十分」だと回答したCISOが約80%となっている。このような、サイバー攻撃を受けるリスクが高いと認識していながら準備が不十分だというギャップによって、CISOの懸念がさらに高まっていると考えられる。

ちなみに本報告書では、代表的な8種類の手法およびターゲットの中で、来年最もサイバーセキュリティーの脅威になると認識しているものは何かを尋ねた結果もまとめられているが、これに関しては34〜26%の間でほぼ横並びとなっている。このような状況を踏まえて、本報告書では、対策すべき脅威を絞り込めず、全方位に対して対策レベルを高める必要があることが、前述のようなギャップが生じる原因の根本だと指摘されている。