ランサムウェア攻撃後、CISOの4人に1人が解雇される

MAYA LAB – shutterstock.com

Sophosの最新レポートによると、CISOはランサムウェア攻撃が成功した場合、4分の1の確率で職を失う可能性があります。このレポートの結果は、こうした攻撃の責任を問われるかどうか、またはそれを防ぐための権限を持っているかどうかに関わらず、セキュリティ責任者にとって警鐘となるものだと業界専門家は述べています。

「この統計は驚くべきものではありませんが、セキュリティ機能が結果を出せない場合、たとえその評価がどれほど公正であっても、経営陣の間でフラストレーションが高まっていることを反映しています」とInfo-Tech Research Groupの技術アドバイザー、エリック・アヴァキアン氏はコメントしています。「たとえ攻撃が彼らの直接的な管理外の要因によって引き起こされたとしても、ステークホルダーはCISOがあらゆる最悪のシナリオを防げることを期待しています。」

アヴァキアン氏は、ランサムウェア攻撃後の解雇が時には必要かつ適切である場合もあるが、企業はしばしば解雇に踏み切るのが早すぎると付け加えます。「CISOの解雇は、CIOや取締役会にとって必要なリセットのように思えるかもしれませんが、必ずしも戦略的な措置とは限りません。インシデント対応計画が守られ、検知ツールが機能し、SLA内で復旧が行われた場合、CISOの交代はしばしば社内に誤ったメッセージを送ることになります。」

しかし、専門家の見解では、基本的なセキュリティ対策が怠られていた場合（例：セグメンテーションなし、バックアップなし、テーブルトップ演習なし）には、交代が正当化される場合もあります。

関連記事：責任論への見解 – CISOはスケープゴートではない

IDCのセキュリティ担当グループVP、フランク・ディクソン氏もアヴァキアン氏の見解に同意しています。ただし、ランサムウェア攻撃後に自発的に辞任するCISOもおり、それが人事異動の頻度を高めていると付け加えます。「ランサムウェアインシデントの対応は非常に過酷です。セキュリティ担当者は燃え尽き症候群で辞職したり、攻撃そのものではなく復旧プロセスで生じた対立が原因で退職を求められることもあります。」

権限の問題

ディクソン氏はさらに、CISOの権限が発揮されるべきだと主張します。事業部門レベルで意思決定がなされ（CISOの助言に反している場合もある）、その場合にCISOに責任を問うのは企業の観点から妥当なのでしょうか？

「ランサムウェア攻撃はCISOの責任だと考える人もいます」とIDCの専門家は述べます。「CISOは経営幹部ですが、唯一の責任者ではありません。セキュリティ侵害は多くの人々の一連の意思決定の結果です。」

Info-Techのアヴァキアン氏は、こうした企業の反応を、自分の過失で家が焼けた際に消防署を責める家主に例えています。「最後に消防署長が解雇されたり、チームが火事の責任を問われたのを見たことがありますか？彼らは対応し、被害を最小限に抑え、啓発し、将来の火災リスクを減らすために貢献しているのです。」これはCISOを含むセキュリティチームにも当てはまります。

ディクソン氏は次のように指摘します。「多くの企業部門、さらには一部のCEOやCOOでさえ、CISOが特定のビジネスプロセスを遅らせることを懸念して、重要な会議にCISOを意図的に招待しないことがあります。」

Sophosレポート（PDF）によると、ランサムウェア攻撃後のフォレンジック調査では、CISOが見落とした、または知っているべきだった問題がしばしば明らかになります。「3年連続で、被害者は悪用された脆弱性がランサムウェアインシデントの最も一般的な原因であると答えています。全攻撃の32％がこれをきっかけに発生しました。」

Sophosのディレクター兼グローバルフィールドCISOであるチェット・ウィスニェフスキ氏によると、回答者の40％が「既知の脆弱性を修正しなかったことがランサムウェア攻撃の原因だった」と認めています。「被害が数百万ドルにのぼる場合、これは非常に耐え難いことです」とSophosのCISOは述べています。

調査によると、侵害された認証情報は2番目に多い攻撃経路として認識されています。ただし、この手法が使われた攻撃の割合は2024年の29％から2025年には23％に減少しました。

また、メールも依然として人気のある侵入口です。被害者の19％が悪意のあるメールを原因とし、さらに18％がフィッシングを挙げており、これは前年の11％から大きく増加しています。（jm）

関連記事：SolarWinds CISO起訴 – ドイツのCISOと専門家の見解