＜Kasperskyレポート：基本的なサイバーセキュリティ用語でも経営幹部には耳慣れないことが判明＞

[本リリースは、2023年2月13日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyは、企業の経営幹部とIT部門とのサイバーセキュリティに関する対話上の課題を踏まえ、円滑なコミュニケーションの一助となることを目的に調査を実施しました。対象は24の国と地域のITもしくはITセキュリティ部門以外の経営幹部2,300人です^※1。調査の結果、経営幹部の5人に1人が、サイバーセキュリティに関する議論中に理解不足を伝えようとしないことが明らかになりました。また、全体の10人に1人はボットネット、APT（持続的標的型）攻撃、ゼロデイエクスプロイトなどのサイバー脅威に関する用語を耳にしたことがないと回答しました。同じく10人に1人が、DevSecOps、ゼロトラスト、SOC、侵入テストなどのサイバーセキュリティ関連の用語を知らないと回答しました。ITセキュリティ部門のマネジャーは、経営幹部との効率的な協力関係を築くために、経営幹部の注意が有意義な点だけに正確に向けられるようにし、サイバーセキュリティリスクを最小化するための具体的な取り組みを明確に説明することが必要です。

調査の結果、ITもしくはITセキュリティ部門以外の経営幹部のうち22%（日本16%）は、ITもしくはITセキュリティ部門との会議中に理解できないことがあっても、それを伝えることをためらうと回答しています。その理由としては、会議後にその関係者に確認したい（全体50%、日本63%）、または自分で解決したい（全体38%、日本50%）が大半である一方で、IT担当者から分かりやすい説明があるとは思えないという回答も37%（日本44%）に上りました。また、34%（日本44%）が話題を理解できないと明かすことをきまり悪く感じており、33%（日本63%）はIT担当者から知識不足だと思われたくないとも考えています 。

さらに、調査対象のすべての経営幹部が、セキュリティ関連の課題についてITセキュリティマネジャーと定期的に話し合う機会があるものの、全体の約10%の回答者が、ボットネット（全体12%、日本27%）、APT攻撃（全体11%、日本37%）、ゼロデイエクスプロイト（全体11%、日本33%）といった脅威について聞いたことがないと回答しました。一方で、スパイウェア（全体81％、日本73％）、マルウェア（全体84%、日本67%）、トロイの木馬（全体82%、日本79%）、フィッシング（全体83%、日本89%）に対する経営幹部の認知度^※2は、全体で80%を超える結果になりました。

サイバーセキュリティ用語については、約10％の経営幹部が、DevSecOps（全体13%、日本38%）、ゼロトラスト（全体11%、日本22％）、SOC（全体11%、日本32%）、侵入テスト（全体11%、日本32%）を聞いたことがないと回答しました。

Kasperskyのソリューションアーキテクト　セルゲイ・ジェーコフ（Sergey Zhuykov）は、次のように述べています。「ITセキュリティ部門の幹部は、IT部門以外の経営幹部が複雑なサイバーセキュリティ用語や概念に精通している必要がないことを心に留めておく必要があります。最高情報セキュリティ責任者（CISO）は、効率的な協力関係を築くために、経営幹部の注意が有意義な点だけに正確に向けられるようにし、サイバーセキュリティリスクを最小化するための具体的な取り組みを明確に説明できなければなりません。このアプローチでは、明白な指標を関係者に伝えることに加え、問題ではなく解決策の提示が求められます」

当社は、企業のITセキュリティ部門とビジネス部門との対話を円滑に進めるために、次の事を推奨します。
・ITセキュリティを組織の成長と変革への原動力として位置づけます。このために、ITセキュリティ部門は、何かを禁止する方策から脱却して、どのようにすればサイバーセキュリティのリスクを軽減しながらビジネス目標を達成できるかを説明する必要があります。
・CISOが積極的に業務活動に関与し、会社の利害関係者との関係を構築します。営業、財務、マーケティングなどの幹部と協力関係を築いているCISOは20%未満であり、CISOが最新のビジネスニーズを把握し続けることは困難です。
・経営幹部に伝えるときは、専門家による脅威の概要、自社が受けている攻撃状況、ベストプラクティスに基づく論拠を使用します。
・ITセキュリティ部門の主な責任について経営幹部に説明します。可能な場合は、CISOの立場を体験する機会を提供し、最も重要なITセキュリティ課題に関する洞察を得られるようにします。
・効果とROIが実証されたツールにサイバーセキュリティの投資を割り当てます。つまり、誤検知率が低く、短時間で攻撃を検知し、攻撃（またはそのほかの指標）あたりに費やされる時間が短いツールが、どのITセキュリティ部門にとっても重要です。

■ 経営幹部とITセキュリティ担当者のコミュニケーション問題について詳しくは、Dailyブログ「Fluent in Infosec: Are c-level executives and IT security managers on the same page?」（英語）でご覧いただけます。

※1 本調査研究について
Kasperskyの依頼により、英Censuswide社が実施しました。アンケートの対象は24の国と地域のITもしくはITセキュリティに従事していない経営層もしくはCレベルで、年に一回以上IT・ITセキュリティ担当者とセキュリティ関連のディスカッションをする2,300人（18歳以上）です。対象企業規模はSMB（従業員数50～999人）およびエンタープライズ（従業員数1000人以上）で、業種に条件はありません。（24の国と地域、回答人数は次のとおりです。各100人：インド、インドネシア、マレーシア、シンガポール、日本、フランス、ドイツ、イタリア、スペイン、英国、オランダ、ベルギー、ブラジル、メキシコ、コロンビア、アルゼンチン、チリ、ペルー、トルコ、南アフリカ、カナダ、米国。各50人：アラブ首長国連邦、サウジアラビア）調査期間は2022年10月5日～10月19日で、オンラインで実施しました。調査結果のパーセンテージは、小数点以下第一位を四捨五入した数値です。Censuswide社は、ESOMARの原則に従い、Market Research Societyのメンバーを採用しています。
※2 「この用語を知っており、詳しく正確に説明することができる」と「この用語を知っており、何らかの大まかな説明をすることができる」の合計