海の向こうの“セキュリティ”
CISOの「サイバー疲労」割合、日本は77%でグローバルの2倍以上
Ciscoによる“健康診断”調査報告・アジア太平洋版より
2020年2月5日 06:00
Ciscoは毎年、CISOの“健康診断”を目的に「CISOベンチマーク調査(CISO Benchmark Study)」を実施しています。2019年の調査結果は2019年2月末に公開され、同年4月には日本語訳も公開されています。この2019年版は世界18カ国の3200人を超えるセキュリティリーダーを対象に実施した調査ですが、この「グローバル版」とは別にアジア太平洋地域に限定した調査が7月に行われ、同年秋に「2019 Asia Pacific CISO Benchmark Study」として公開されました。グローバル版とアジア太平洋版では調査内容は基本的に同じであり、調査対象国としてオーストラリア、インド、日本、中国の4カ国は両方に含まれていますが、アジア太平洋版は2019年7月にあらためて調査が行われたものであり、グローバル版のサブセットではありません。
2019年のアジア太平洋版は昨年秋に公開されたものなので若干古いのですが、今回はこの中からいくつかの項目を紹介します。
アジア太平洋版の調査対象は、11カ国(オーストラリア、中国、インド、インドネシア、日本、韓国、マレーシア、フィリピン、シンガポール、タイ、ベトナム)の約2000人のセキュリティリーダーであり、組織規模は100人程度の小さなものから大企業までと幅広く、公的機関も含まれています。また、調査内容は以下の4つの領域に関するものになっています。
- サイバーセキュリティ文化
- セキュリティアラートとデータ侵害のインパクト
- サイバーセキュリティのトレンド:クラウドやOT(Operational Technology)の脅威
- ベンダーの管理における防御側のアプローチ
まず、「CISOベンチマーク調査」においてCiscoは、「サイバー疲労(Cybersecurity fatigue)」を「悪質な脅威や攻撃者に対して、常に率先して対処することをあきらめること」と定義しています。これはセキュリティチームが莫大なセキュリティアラートに圧倒され、常に火消しに追われている状態であり、「バーンアウト(燃え尽き症候群)」につながる兆候を示しているとしています。
この「サイバー疲労」の状態となっているとの回答は、グローバルでは2018年の46%より、2019年には30%に減っているとの結果が出ています。一方、アジア太平洋地域でも59%から52%に減っていますが、その数字はグローバルと比較してかなり大きな値となっています。また、国ごとに見るとかなり違いがあり、中でも2018年から2019年にかけて大きく増えているのは以下の3カ国です。
| 韓国 | 39% → 60% | プラス21ポイント |
| フィリピン | 27% → 43% | プラス16ポイント |
| 中国 | 29% → 43% | プラス14ポイント |
逆に、大きく減っているのは以下の3カ国。
| インド | 62% → 34% | マイナス28ポイント |
| インドネシア | 58% → 35% | マイナス23ポイント |
| ベトナム | 62% → 53% | マイナス9ポイント |
その他の国は以下の通り。
| 日本 | 76% → 77% | プラス1ポイント |
| オーストラリア | 69% → 65% | マイナス4ポイント |
| タイ | 未掲載 → 65% | |
| マレーシア | 49% → 55% | プラス6ポイント |
| シンガポール | 36% → 45% | プラス9ポイント |
日本の77%という数字は、グローバルの30%の倍以上であり、アジア太平洋地域全体の52%と比べても極めて高い値となっています。同じアジア太平洋地域で次に高いオーストラリアやタイの65%と比べても、その値の高さは際立っています。
「サイバー疲労」の割合が上下する理由は厳密にはさまざまな要因があると考えられますが、報告書では受け取るアラートの総数に対して対応できる数が多ければ、すなわち、対応するための環境や能力が十分にあれば「サイバー疲労」にはならないだろうとしています。また、「サイバー疲労」のレベルを下げるための方策としてCiscoはトレーニングや自動化、ゼロトラストのアプローチによるオーケストレーション、ソフトウェアの最新化を挙げています。
「サイバー疲労」の点では不名誉な結果となってしまっている日本ですが、その一方で、それぞれの組織にとって最も深刻な侵害が発生した際の「ダウンタイム(Downtime)」を調査した結果によると、日本では4時間以内で済んでいる割合が63%に及んでおり、グローバルの45%やアジア太平洋地域の31%を大きく上回っています。
4時間以内で済んでいる割合は以下の通り。
| 日本 | 63% |
| 中国 | 48% |
| インドネシア | 40% |
| インド | 39% |
| フィリピン | 30% |
| シンガポール | 24% |
| タイ | 24% |
| マレーシア | 23% |
| ベトナム | 20% |
| オーストラリア | 16% |
| 韓国 | 16% |
| アジア太平洋地域全体 | 31% |
| グローバル | 45% |
一方、24時間を超えている割合は以下の通り。
| ベトナム | 30% |
| タイ | 29% |
| マレーシア | 27% |
| シンガポール | 27% |
| フィリピン | 26% |
| 韓国 | 24% |
| インドネシア | 19% |
| インド | 8% |
| 中国 | 4% |
| 日本 | 4% |
| オーストラリア | 1% |
| アジア太平洋地域全体 | 23% |
| グローバル | 4% |
さらに、5日以上の割合は以下の通り。
| タイ | 9% |
| フィリピン | 9% |
| マレーシア | 5% |
| インドネシア | 5% |
| 韓国 | 3% |
| シンガポール | 3% |
| ベトナム | 2% |
| アジア太平洋地域全体 | 5% |
| グローバル | N/A |
次に、「サイバー疲労」の原因の1つとも言える、先進的なセキュリティプロセスやテクノロジーを組織に導入する際の最大の障害について尋ねた結果は以下のようになっています。なお、ピンクは40%以上、黄色は30%%以上40%未満です。
アジア太平洋地域とグローバルでは全体の傾向に大きな違いはありませんが、「先進的なセキュリティプロセスやテクノロジーに関する知識の不足」がアジア太平洋地域では多めなのが目を引きます。
個々の国別に見ると、知識の不足がタイで半数を超えている点やベトナムにおける人材不足、インドネシアにおける予算の制約、マレーシアにおけるセキュリティ文化の問題が目立っています。日本はグローバルよりもアジア太平洋地域全体の傾向に近いようです。
報告書には今回紹介した以外にもさまざまな点について調査した結果が掲載されています。特に、調査対象の11カ国それぞれについて基本的に同じ観点で分析した結果もありますので、アジア太平洋の国々の状況や相互の比較に興味のある方には一読の価値のある報告書となっています。
URL
- Cisco 2019 Asia Pacific CISO Benchmark Study
- https://www.cisco.com/c/m/en_sg/products/security/offers/benchmark-reports-2019.html
- Cisco 2019 Asia Pacific CISO Benchmark Study Regional Overview(※Executive Summary)
- https://www.cisco.com/c/dam/global/en_sg/assets/pdfs/cisco-2019-apac-cisco-benchmark-study.pdf
- Cisco Press Release(2019年4月22日)
シスコ、「2019年版CISOベンチマーク調査」の日本語版を発表(※グローバル版) - https://news-blogs.cisco.com/apjc/ja/2019/04/22/シスコ、「2019年版CISOベンチマーク調査」の日本語版/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。