今回紹介させていただくのは、サイバーセキュリティに関する研修事業や普及啓発活動を展開している非営利組織であるSANS Institute(注1)が2022年6月に発表した調査報告書である。
本連載ではこれまで、サイバーセキュリティに関するさまざまな調査報告書を紹介させていただいたが、多くの報告書で指摘されていたのが従業員に対する教育や意識付けの重要性であった。これは特にフィッシング(phishing)のように、従業員の初期対応が結果を大きく左右するような事案が多いことが背景にあると思われるが、今回紹介させていただく報告書は、特にサイバーセキュリティに関する認識向上(awareness)に特化したものである。
これは世界各国でサイバーセキュリティに関する認識向上に取り組む実務者1000人を対象としたアンケート調査の結果に基づいてまとめられており、下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、報告書を無償でダウンロードできる。
https://go.sans.org/lp-wp-2022-sans-security-awareness-report
(PDF 32ページ/約7.0 MB)
本報告書の前半は、組織におけるセキュリティ認識向上プログラムをいかに成長させ、成熟させるかという観点から、調査結果の考察と今後への提言がまとめられている。また後半は、セキュリティ認識向上に取り組む実務者がどのようにスキルを伸ばし、キャリアを積んでいくかという問題意識に基づく内容となっている。
まず組織におけるセキュリティ認識向上プログラムについて、SANS Instituteではプログラムの成熟度(maturity)を次の5つのレベルに分けた上で、回答者の組織におけるプログラムがどのくらいのレベルにあるかを調査している。
・Non-existent (存在しない)
・Compliance Focused (コンプライアンス中心)
・Promoting Awareness and Behavioral Change (認識向上の推進と行動の変化)
・Long-Term Sustainment and Culture Change (長期的な持続と文化の変化)
・Metrics Framework (計量の枠組み)
これらのうち最後の「Metrics Framework」というのが具体的にどのような状態を表すのか、分かりにくいと思われるかもしれない。本報告書ではこのレベルについて、プログラムを継続的に改善し、投資利益率を経営層に説明できるようにするために、プログラムの状況や成果を計量する枠組みが確立されている状態であるとされている(注2)。
そして図1がその回答状況である。単にコンプライアンスのためというレベルを脱却し、行動の変化に繋げようとするレベルにあるという組織が最も多くなっているが、文化を変えるというようなレベルに達している組織はまだ少ないようである。
なお本報告書には図1の結果を地域別に集計した結果も掲載されており、アジアおよび南米においては「コンプライアンス中心」というレベルが最も多く、北米やアフリカでは「認識向上の推進と行動の変化」というレベルが最も多くなっている。「長期的な持続と文化の変化」というレベルが最も多いのはオーストラリア/ニュージーランドである。
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方