Splunk社が公開した最新の調査レポートでは、サイバー攻撃の被害を受けたことがあるか、身代金を支払ったことがあるか、サイバー攻撃に関する最大の懸念は何かなどについて、情報セキュリティを統括するCISOに調査した結果を公開しています。
このSATブログではこれまで多くのセキュリティ対策に関する調査レポートを取り上げていますが、これらは一般的に「セキュリティの現場の第一線」にいる担当者の方々を対象としています。Splunk社が公開した「The CISO Report」は、CISOなどの経営幹部の視点で分析した高度なサイバー攻撃とその影響に関する重要な知見を提供しています。例えば、最新のサイバー脅威や生成AIなどの新しいテクノロジーにどう取り組んでいるか、経営幹部がCISOに何を求めているかなどの調査結果を取り上げています。 今回のブログでは、サイバー攻撃の脅威についてフォーカスして考察します。
同レポートは、次のようにCISOのサイバー攻撃の現状認識をまとめています。
- CISOの43%が、破壊的なサイバー攻撃を「少なくとも1回」自社で経験したと回答
- CISOの34%が、サイバー攻撃を「2~3回」経験したと回答
- CISOの13%が、サイバー攻撃を「4~5回」経験したと報告
- CISOの96%が、ランサムウェア攻撃を経験したと回答
- CISOの83%が身代金を支払ったと回答
その結果、93%のCISOが2024年に向けてサイバーセキュリティへの支出が増加すると予想しています。
CISOは、主な脅威として、ランサムウェア、アカウントの乗っ取り、サードパーティベンダーのリスク、詐欺、マルウェアなどを挙げています。しかし、CISOが最も懸念しているのはソーシャルエンジニアリング攻撃です。フィッシングとソーシャルエンジニアリングは密接な関係があることから、これは当然かもしれません。
Splunk社が公開した「The CISO Report」については、ITmedia エンタープライズがセキュリティニュースアラートとして日本語でレポートしています。https://www.itmedia.co.jp/enterprise/articles/2310/18/news052.html
サイバー攻撃に立ち向かうには、サイバーレジリエンスの観点から、テクノロジー防御対策と人的防御対策の2本立てで取り組む必要があります。企業や組織のサイバーセキュリティ対策の予算には、セキュリティアウェアネストレーニングを追加して、サイバーセキュリティにおける人的要因への対策を強化することが不可欠です。
KnowBe4のセキュリティアウェアネストレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年10月13日発信 https://blog.knowbe4.com/9-in-10-cisos-report-at-least-one-disruptive-cyberattack-in-last-year
