経営けいえい幹部かんぶでも基本きほん的てきなサイバーセキュリティー用語ようごを知しらない？　カスペルスキーが調査ちょうさ

2023年ねん03月がつ07日にち 19時じ20分ふん更新こうしん

文ぶん● ASCII

　カスペルスキーは3月がつ7日にち、企業きぎょうの経営けいえい幹部かんぶとIT部門ぶもんとのサイバーセキュリティーに関かんする対話たいわ上じょうの課題かだいについて調査ちょうさしたレポートを発表はっぴょうした。

　本ほん調査ちょうさは、24の国くにと地域ちいきのITもしくはITセキュリティー部門ぶもん以外いがいの経営けいえい幹部かんぶ2300人にんを対象たいしょうに実施じっし。調査ちょうさの結果けっか、経営けいえい幹部かんぶの5人にんに1人ひとりが、サイバーセキュリティーに関かんする議論ぎろん中ちゅうに理解りかい不足ふそくを伝つたえようとしないことなどが明あきらかになった。

　本ほん調査ちょうさでは、ITもしくはITセキュリティー部門ぶもん以外いがいの経営けいえい幹部かんぶのうち22％（日本にっぽん16％）は、ITもしくはITセキュリティー部門ぶもんとの会議かいぎ中ちゅうに理解りかいできないことがあっても、それを伝つたえることをためらうと回答かいとうした。その理由りゆうとしては、会議かいぎ後ごにその関係かんけい者しゃに確認かくにんしたい（全体ぜんたい50％、日本にっぽん63％）、または自分じぶんで解決かいけつしたい（全体ぜんたい38％、日本にっぽん50％）が大半たいはんである一方いっぽうで、IT担当たんとう者しゃから分わかりやすい説明せつめいがあるとは思おもえないという回答かいとうも37％（日本にっぽん44％）に上のぼった。

　また、34％（日本にっぽん44％）が話題わだいを理解りかいできないと明あかすことをきまり悪わるく感かんじており、33％（日本にっぽん63％）はIT担当たんとう者しゃから知識ちしき不足ふそくだと思おもわれたくないとも考かんがえている。

　さらに、調査ちょうさ対象たいしょうのすべての経営けいえい幹部かんぶが、セキュリティー関連かんれんの課題かだいについてITセキュリティーマネジャーと定期ていき的てきに話はなし合あう機会きかいがあるものの、全体ぜんたいのおよそ10％の回答かいとう者しゃが、ボットネット（全体ぜんたい12％、日本にっぽん27％）、APT攻撃こうげき（全体ぜんたい11％、日本にっぽん37％）、ゼロデイエクスプロイト（全体ぜんたい11％、日本にっぽん33％）といった脅威きょういについて聞きいたことがないと回答かいとうした。

　一方いっぽうで、スパイウェア（全体ぜんたい81％、日本にっぽん73％）、マルウェア（全体ぜんたい84％、日本にっぽん67％）、トロイの木馬もくば（全体ぜんたい82％、日本にっぽん79％）、フィッシング（全体ぜんたい83％、日本にっぽん89％）に対たいする経営けいえい幹部かんぶの認知にんち度どは、全体ぜんたいで80％を超こえる結果けっかになった。

　サイバーセキュリティー用語ようごについては、およそ10％の経営けいえい幹部かんぶが、DevSecOps（全体ぜんたい13％、日本にっぽん38％）、ゼロトラスト（全体ぜんたい11％、日本にっぽん22％）、SOC（全体ぜんたい11％、日本にっぽん32％）、侵入しんにゅうテスト（全体ぜんたい11％、日本にっぽん32％）を聞きいたことがないと回答かいとうした。

　カスペルスキーは、企業きぎょうのITセキュリティー部門ぶもんとビジネス部門ぶもんとの対話たいわを円滑えんかつに進すすめるために、次つぎの事ことを推奨すいしょうしている。

・ITセキュリティー部門ぶもんは、何なにかを禁止きんしする方策ほうさくから脱却だっきゃくして、どのようにすればサイバーセキュリティーのリスクを軽減けいげんしながらビジネス目標もくひょうを達成たっせいできるかを説明せつめいする。
・CISOが積極せっきょく的てきに業務ぎょうむ活動かつどうに関与かんよし、会社かいしゃの利害りがい関係かんけい者しゃとの関係かんけいを構築こうちくする。営業えいぎょう、財務ざいむ、マーケティングなどの幹部かんぶと協力きょうりょく関係かんけいを築きずいているCISOは20％未満みまんであり、CISOが最新さいしんのビジネスニーズを把握はあくし続つづけることは困難こんなんとなっている。
・経営けいえい幹部かんぶに伝つたえるときは、専門せんもん家かによる脅威きょういの概要がいよう、自社じしゃが受うけている攻撃こうげき状じょう況きょう、ベストプラクティスに基もとづく論拠ろんきょを使用しようする。
・ITセキュリティー部門ぶもんの主おもな責任せきにんについて経営けいえい幹部かんぶに説明せつめいする。可能かのうな場合ばあいは、CISOの立場たちばを体験たいけんする機会きかいを提供ていきょうし、最もっとも重要じゅうようなITセキュリティー課題かだいに関かんする洞察どうさつを得えられるようにする。
・効果こうかとROIが実証じっしょうされたツールにサイバーセキュリティーの投資とうしを割わり当あてる。つまり、誤あやま検知けんち率りつが低ひくく、短時間たんじかんで攻撃こうげきを検知けんちし、攻撃こうげき（またはそのほかの指標しひょう）あたりに費ついやされる時間じかんが短みじかいツールが、どのITセキュリティー部門ぶもんにとっても重要じゅうようとなる。

　経営けいえい幹部かんぶとITセキュリティー担当たんとう者しゃのコミュニケーション問題もんだいについての詳細しょうさいは、Dailyブログ「Fluent in Infosec: Are c-level executives and IT security managers on the same page?」（英語えいご）で公開こうかいしている。