CISOの75%、経営幹部が従業員直面のサイバーリスクを理解していないと懸念

サイバーセキュリティ責任者の4分の3以上が、自社の取締役会レベルの意思決定者は、従業員の職場での行動に関連するサイバーセキュリティリスクを理解していないと考えていることがわかりました。

これは、MetaComplianceが7月9日に公表した報告書によるもので、欧州各国の200名以上のCISOからの回答に基づいています。調査対象のうち78%が、C level幹部はサイバーセキュリティリスクを十分に理解していないと回答しました。従業員がフィッシング攻撃の集中砲火にさらされAIの台頭に伴うセキュリティ上の課題への対応を迫られている今、この結果は看過できません。

経営幹部層のこうした理解不足、そして時には関心の欠如が、サイバーセキュリティ責任者たちを悩ませています。彼らは経営上層部からの一貫した支援が得られないまま、サイバー脅威に対するレジリエンス強化を求められているのです。

実際、この調査によると、CISOの79%がセキュリティ意識向上の取り組みに対する経営層の支援が時間とともに薄れていくと回答しています。これにより、AIを悪用したソーシャルエンジニアリング攻撃の増加など、進化し続けるサイバー脅威から組織と従業員を守ることがより難しくなっています。

サイバーレジリエンスへの自信低下

その結果、CISOたちは自組織のサイバーレジリエンスに対する自信が、12カ月前と比べて低下していると感じるようになっています。そのように感じている人の半数が、最大の理由として、ますます巧妙化・大規模化するAIベースのソーシャルエンジニアリング攻撃の増加を挙げました。

MetaComplianceのCEOであるJames Mackay氏は次のように述べています。「AIは人的リスクの様相を一変させました。攻撃者はもはや、見え透いた詐欺やお粗末な文面のフィッシングメールに頼っていません。今や、極めて説得力のあるなりすまし、ソーシャルエンジニアリング攻撃、そして詐欺的なコミュニケーションを大規模に生み出せるのです」

同氏はさらにこう付け加えています。「だからこそ、経営上層部との足並みを揃えることが、これまで以上に重要になっています。人的サイバーリスクは、もはや単なる意識啓発や研修の問題ではなく、戦略的な事業リスクなのです。しかし私たちの調査結果は、多くのCISOが、一貫した経営層の支援も、明確な責任の所在も、事業全体でのリスクに関する共通理解もないまま、変革を推し進めようとしている実態を示しています」

関連記事: 高速化するサイバー攻撃が企業のサイバーセキュリティ戦略をどう変えているか

調査対象者によると、CISOが苦戦しているもう一つの理由は、事業内の関係者間で足並みが揃っていないことにあります。これが人的サイバーリスクの管理を困難にしているのです。例えば、組織内のある部門が別の部門とは異なる方針を採用していると、セキュリティやアクセス権をめぐる混乱が生じ、最終的にはデータ損失やサイバーインシデントにつながりかねません。

職場におけるLLMやAIエージェントの台頭が、この問題をさらに複雑にしています。調査対象のCISOの40%が、従業員が生成AIプラットフォームに機密情報を共有していることを懸念しており、これは組織にとってデータ侵害やプライバシー侵害につながる可能性があります。

このような環境下では、経営幹部がサイバーリスクによってもたらされうる脅威に十分な関心を注ぐことが不可欠です。さもなければ、自社のCISOが組織の直面するサイバーセキュリティ上の課題に対応する備えを十分に整えられないまま、取り残されることになりかねません。

MacKay氏は次のように述べています。「初期の後押しの後に経営層の支援が薄れてしまえば、組織は脆弱なまま取り残されます。AIを悪用した脅威に対するレジリエンスを構築するには、経営層による持続的な支援、関係者間のより良い連携、そして人的サイバーリスクを管理するための、より知的で行動主導型のアプローチが求められます」 

翻訳元: https://www.infosecurity-magazine.com/news/cisos-fear-execs-dont-understand/

ソース: infosecurity-magazine.com