サイバー・セキュリティ態勢が改善された：CISO たちが経営陣に話し続けた結果だ！

Cybersecurity culture improves despite the dark clouds of the past year

2023/06/16 HelpNetSecurity — 経済情勢の悪化や、世界的な緊張の高まり、そして、サイバー犯罪を容易にする新技術の登場などの状況が危惧されている。しかし、ClubCISO と Telstra Purple の調査によると、CISO の 76％が、過去12ヶ月間に重大な侵害は発生していないと回答し、60％が重大なサイバーセキュリティ・インシデントは発生していないと回答したという。このようなセキュリティ対策の結果は、それぞれの CISO が組織の全体的なセキュリティ態勢について、前年よりも低下したと評価する状況を考えると、非常に興味深いものとなる。

組織のセキュリティ環境が改善された

自分たちを平均以上 (少なくとも ５段階中の４) と評価した CIOS が、2022年は 46%だったのに対し、2023年は 38%だった。さらに、13％以上の回答者が、自分の組織が主要なセキュリティ目標を達成できる自信がないと回答しているが、これは 2022年と全く同じ結果だった。

直接の関係はないが、全体的なセキュリティ態勢と、重大な違反およびインシデントの減少との間のギャップは、CISO が観察してきた文化面での向上により、一部については説明できるかもしれない。

回答者の 80%は、組織のセキュリティ環境が、2022年にある程度は改善されたと捉えている。また、このような環境的な向上に影響を与える、絶対に欠かすことのできない要因について尋ねたところ、「リーダーシップへの支持」が大きな影響力を持っていると、60% が回答している。

セキュリティ文化の改善点として残されるものとしては、積極的な報告義務 (41％) ／フィッシングのシミュレーション (38％) ／カスタマイズされたトレーニング (37％) などが、要因として挙げられている。しかし、これらの項目を前年度を比較すると、それぞれのスコアは低下している。おそらく、それらが、セキュリティ環境の一部として定着したことで、危惧する声が低下しのだろう。

深刻なサイバー侵害の減少

Advisory Board Member の Jessica Barker は、「今年の調査結果は、セキュリティ環境において、リーダーシップに対する承認が重要な役割を果たすと認めている。サイバー・セキュリティは、ここ数年、企業の課題として浮上しているが、セキュリティ・チームとシニア・リーダーシップの連携が強化されたことは、非常に心強い進歩だ。つまり、トップからの指示とリソースの供給がなければ、健全なセキュリティ環境の構築は、常に困難なものとなるだろう」とコメントしている。

また、重視すべきものとして、CISO の 67％ が経営陣との連携強化を挙げているが、2022年は 59％ だった。また、54％ が取締役会との連携強化を挙げているが、2022年 は 49％ だった。

なお、厳しい脅威の状況に対応するため、調査に回答した大半のメンバー (72％) が、現時点でサイバー・セキュリティ保険に加入している。しかし、この問題は依然として賛否両論であり、15% は保険を望まず、そのメリットを信頼していないという。

Telstra Purple EMEA の責任者である Rob Robinson は、「今回の会員アンケートの結果は、以前から我々がマーケットで見てきたものを裏付けている。セキュリティ戦略を補強するのは、人を中心に構築すべきだという考え方であり、それにより根本から効果的なものになっていく。CISO の 80%は、自分の組織のセキュリティ環境が、この１年でポジティブに発展したと回答している。効果的なセキュリティ体制を確立するための重要な要因として、リーダーシップへの支持が強調されているという事実は、CISO がビジネスの最高レベルに達したことを示している。強力なセキュリティは、いまや企業の重要な能力として明確に認識されている。その背景には、経営陣に対して CISO たちが、発言し続けてきた努力がある」と述べている。

Telstra の調査ですが、ダウンロードしたレポートには 192人のグローバル CISO が対象だと記されています。時事にではあっても、セキュリティが企業にとって重要な問題だと、認識が深まっていくことに希望を感じます。ぜひ、この ClubCISO Security Maturity Report 2023 をダウンロードして、ご参照ください。40ページの大作ですが、大半が統計グラフなので、それらを眺めるだけでも楽しめます。