「内部脅威」や「ヒューマンエラー」に対する危機意識にも注目を

なお、調査からはもう1つ注目すべきポイントが明らかになりました。「内部脅威」や「ヒューマンエラー」に対する危機意識です。

どういった攻撃に懸念を感じているかを経営層に尋ねたところ、最も多いのは「メール詐欺・ビジネスメール詐欺(BEC)」で41%となり、続けて「クラウドアカウント侵害」(37%)、「ランサムウェア」(32%)という結果になりました。一方、CISOに同様の質問を投げかけたところ、これらの脅威に対する懸念も30%前後という回答でしたが、最大の脅威として「内部脅威」を挙げる声が31%で最多でした。

経営層が挙げた脅威のほとんどに関係してくるのがメールです。メールはビジネスに不可欠なツールであり、それだけに、脅威が侵入してくる最大の経路となっています。しかも、その最前線に立つのは「人」です。仕事熱心だったり、急いでいたりするあまりにヒューマンエラーが生じ、たった一回クリックミスしてしまうだけで、組織に深刻な影響を与える恐れがあります。

経営層もCISOも、メールがもたらすこうした脅威を正しく認識しており、特に経営層の67%は「ヒューマンエラーこそ、最大のサイバー脆弱性である」と回答しています。日本の経営層もそう考える傾向があり、世界平均よりも高い74%が、ヒューマンエラーへの懸念を示しています。

このこと自体は歓迎すべきですが、世界経済フォーラムが「サイバーセキュリティ事故の95%はヒューマンエラーが原因である」とする調査結果を示していることを踏まえると、もっと注目されて然るべきでしょう。同様に、内部不正のリスクももっと認識されてしかるべきだと考えます。

サイバー攻撃対策はテクノロジーだけでは不十分です。このことを認識し、経営層も含めた従業員全体が、トレーニングプログラムなどを通じて疑わしいメールやWebサイトに遭遇した際にどのように振る舞い、対処すべきかを理解し、犯罪者がつけいる隙を減らしたり、何が内部不正に当たり、どんなリスクを招くかを理解していったりすることが重要です。

特に、取締役会が「ロールモデル」として、あるべき手順を尊重し、サイバーセキュリティを優先する姿勢を示すことで、その文化が組織全体に波及していくでしょう。

CISOは「ビジネスの言葉」で説明することで強固な組織の実現を

先に触れたとおり、取締役会ではサイバーセキュリティを重要な脅威と捉えており、定期的に話し合うようになっています。これは以前に比べれば大きな進歩と言えるでしょう。一方で、現場からの報告を受けているCISOの認識と取締役との認識の間にはまだギャップが存在することも、今回の調査からは明らかになりました。

調査では、回答した取締役の76%が、「少なくとも月に1回はサイバーセキュリティ問題について話し合っている」と回答しています。逆に言えば、まだ4分の1、24%の企業は定期的な話し合いを持っていないということです。

サイバーセキュリティを優先順位の高い課題と捉えているのであれば、その解決に向け、取締役会で定期的に議題として取り上げるべきです。そして、今の状況とあるべき姿を把握するため、できれば具体的な指標を持ち、それに沿って進捗を確認すべきでしょう。可能であれば、インシデント発生時にどう振る舞うべきかを理解するため、定期的に訓練を実施することも有効です。そうした姿勢は自ずと組織全体にも浸透し、サイバーセキュリティを重視する文化の醸成にもつながるはずです。

一方、CISOにもできることはあります。インフラを守る技術的な視点ではなく、事業自体を守るビジネス的な視点を持って経営層と対話することです。

例えば、「CVSなんとかの脆弱性が悪用されています」といった過度に技術的な説明ではなく、その脅威によって自社の収益にどのような影響が生じる恐れがあり、どうすればビジネスリスクを低減できるかといった観点で、ビジネスの言葉を用いて説明することが効果的です。これにより取締役会との認識のズレを埋め、ともに力を合わせるビジネスパートナーとして、経営課題としてのサイバーセキュリティに取り組むことができるでしょう。 そうすることによって、日本の取締役会におけるCISOの地位も向上するはずです。

しばしば「CISOの言うことはよくわからない」「経営層はセキュリティのことをわかってくれない」と、互いが互いを非難する言葉が聞かれがちですが、この二者は敵対関係にあるべきものではありません。共に手を携え、サイバー攻撃者という真の敵に立ち向かうべきです。

それには、互いの関係をより強固なものにし、認識を一致させることが重要であり、それがサイバー攻撃に対する防御とレジリエンシーを備えた組織を作る上で重要な一歩といえるでしょう。

著者プロフィール


日本プルーフポイント株式会社 チーフ エバンジェリスト 増田 幸美(そうた ゆきみ)

早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。