コラムアーカイブ

CISO意識調査レポートに関する記事が公開されています。

https://japan.zdnet.com/article/35188362/

2022年第1四半期にセキュリティ製品ベンダーが実施した世界14か国のCISO（各国100人、計1,400人）へのアンケートで、今後1年の間に自分の組織や業界が受けるサイバーセキュリティ上最大の脅威を3つまで選んでもらった結果、「内部脅威（不注意、過失または犯罪）」がグローバルと日本ともに1番に選ばれました。日本では、「内部脅威」を39%、「スミッシング/ビッシング（スマートフォンを介したフィッシング）」を33%、「ランサムウェア」を32%のCISOが選んでおり、アンケートによる集計からCISOが最も意識している脅威は「内部脅威」と言える結果でした。集計では、『「今後1年の間に自分の組織が重大なサイバー攻撃を受けるリスクがあると考えるCISOの割合」の推移を2021年と2022年で比較すると、2022年の方が日本を含む多くの国で値が下がっている』とされていますが、油断せず、必要な対策はしっかり実施や整備をしておきたいですね。

CISO（Chief Information Security Officer）は最高情報セキュリティ責任者のことで、CISOは一般的に、経営層から任命された企業や組織のセキュリティ施策全体を担う責任者です。内部脅威が上位となった理由として、アンケートを実施したベンダーは「過失や不注意であれ、悪意をもった犯罪であれ、組織内でデータ損失や情報漏洩を引き起こす「人」の脆弱性が注目されている」と解説しています。CISOが持つ内部脅威へのリスク認識に、どんな背景があるのでしょうか？

「人」が引き起こすセキュリティの脅威のうち、内部不正リスクについて、コロナ禍を契機としたテレワークに代表される新しい働き方、オンラインストレージやクラウド等の外部サービスの利用拡大、雇用の流動化による退職者の急増が、重要な環境変化をもたらしていると、情報処理推進機構IPAが2022年4月に実施した「組織における内部不正防止ガイドライン」の第5版改訂の概要の中で説明しています。

確かに、コロナ禍もあり、ここ数年で職場環境が大きく変化しています。多くのCISOが、環境変化によるリスク変化を認識しているのでしょう。自分の企業や組織の職場環境が変化しているならば、内部不正対策が古くなっていないか考慮漏れがないか気になりませんか？

企業や組織のCISOやセキュリティ対策担当者は、コロナ禍の環境変化を意識して「組織における内部不正防止ガイドライン第5版」を確認することをオススメします。特に、別紙の「第5版概要説明資料」とガイドライン本文の巻末「付録VIII：テレワークに係る対策一覧」に目を通しておくと良いですよ。