サイバー犯罪の手口が複雑化する中、企業の経営幹部はセキュリティ上安全な行動をとっているのだろうか?キャプテラが世界11カ国のIT・セキュリティ担当者を対象に実施した調査の結果を基に、経営層が直面するサイバー攻撃の現状とその対策について解説する。

経営層が狙われるサイバー攻撃

近年、サイバー攻撃の手口はますます巧妙化しており、企業の経営層がその標的となるケースが増えています。執行役員や上級管理職などの幹部は組織の重要な情報にアクセスでき、意思決定にも深く関与しているため、攻撃者にとって魅力的なターゲットとなっても不思議ではありません。キャプテラが実施した「経営層のサイバーセキュリティに関する調査」*では、日本のIT担当者の75%が、経営層が一般社員よりもサイバー攻撃に遭いやすいと指摘しています。

このような状況を受けて、本記事ではキャプテラの調査結果を基に、日本の企業における経営層のサイバーセキュリティの現状と課題について詳しく解説します。さらに、現在主流となっている具体的なサイバー攻撃の種類や、セキュリティソフトなどの対策についても探っていきます。

調査結果のハイライト
  • 日本の経営層の50%が過去18ヶ月間にサイバー攻撃の標的となった
  • IT担当者の75%「経営幹部は、一般社員よりもサイバー攻撃の被害に遭う頻度が高い」
  • 被害を引き起こす最も多い行動は弱いパスワード、システム更新の不備、信頼できないファイルのダウンロード
  • 全社員に共通のセキュリティ研修を実施しているとの回答は58%である一方、経営層にさらに特別なトレーニングを提供しているのは26%に留まる

増加する経営層へのサイバー攻撃

経営責任を負う立場の幹部は、様々なサイバーリスクを把握していると思われますが、近年の高度化する脅威から、実際にはどの程度身を守ることができているのでしょうか。

本調査に参加したIT部門やセキュリティ部門に対して、まずは過去18ヶ月間に経営幹部がサイバー攻撃の標的になったかどうかを尋ねました。下図の通り、日本のIT・セキュリティ担当者の中で、経営層が「一度だけ」攻撃を受けたと回答したのは15%、「複数回」は35%で、合わせて実に半数にも上ります。

サイバー攻撃の標的となった経営幹部

これは調査対象11カ国の平均である63%と比べると低い数字ですが、決して安心できる状況ではありません。まずは、回答の内訳を見ると、「複数回」と回答した人の割合は35%で世界平均を大きく上回っています。また、経営層がサイバー攻撃の標的となったと回答した人のうち、52%が同期間に経営層へのサイバー攻撃が増加していると感じています。すなわち、今後もその割合が増える可能性が高いと言えるでしょう。

この状況の背景には、後ほど詳しく述べるように、適切なトレーニングの不足や効果的な対策が講じられていないことが考えられます。また、一度被害に遭うとサイバー犯罪者間で攻撃の詳細が共有され、同じ脆弱性を狙われるリスクが高まることも要因の一つです。

さらに、経営幹部は一般社員よりもサイバー攻撃の被害に遭う頻度が高いことも明らかになりました。そのように考える日本のIT・セキュリティ担当者は75%に上ります (「強く同意する」と「やや同意する」の合計)。

経営層はサイバー攻撃を受けやすい

経営陣のセキュリティの脆弱性は、企業のデジタル資産や財務全体の保護に影響を及ぼすリスクを高めるだけでなく、他の従業員や業務にも悪影響を及ぼします。たとえば、企業幹部のアカウントがサイバー攻撃によって侵害されると、重要なデータにアクセスできなくなったり、システムが停止する可能性があります。そのため、経営陣のサイバーセキュリティを確保することは特に重要です。続いて、経営層がどのようなサイバー攻撃の標的になっているのか、そしてそれを引き起こす危険な行動について見ていきましょう。

なぜ繰り返し被害に遭ってしまうのか?
一度サイバー攻撃の標的となると、再び狙われる可能性が高まります。特に、価値のある標的と見なされた場合、そのリスクは一層増大します。サイバー犯罪者は、成功した攻撃の詳細や流出した個人情報を共有することがあり、他の攻撃者が同じ脆弱性を悪用して侵入を試みるケースが多いのです。継続的なセキュリティ対策とトレーニングを徹底し、常に警戒を怠らないようにしましょう。

経営層が直面するサイバー攻撃の種類とその対策

引き続き、自社の経営幹部がサイバー攻撃を受けたことがあると答えた人に対して、その背景について質問しました。まず、過去18ヶ月間に企業の経営層が標的となったサイバー攻撃の種類について、日本と海外で多少の違いがあることが明らかになりました。下のグラフでは、上位を占める攻撃の種類を比較しています。

経営幹部が標的となったサイバー攻撃の種類

日本の場合、最も多かった回答は「マルウェア攻撃」(59%) でした。次に多かったのが、企業の重要なデータやシステムを人質に取り、身代金を要求する「ランサムウェア攻撃」 (50%)、そして詐欺メールや偽サイトを使って情報を盗む「フィッシング」(48%) の順となりました。このように、経営層を狙った攻撃は、企業の中枢機能や意思決定プロセスに対して深刻なリスクをもたらすことがわかります。

それでは、経営幹部のどのような行動がサイバー攻撃の被害を引き起こすのでしょうか。日本の企業では、以下の行動が主な原因として挙げられています。

  • 弱いパスワードの使用 (37%)
  • ソフトウェアやシステムの更新の不備 (35%)
  • 信頼できないソースからのファイルのダウンロード (33%)

続いて、これらの問題を解決するための具体的な手段を説明します。

弱いパスワードの使用

言うまでもなく、脆弱なパスワードはサイバー攻撃のリスクを大幅に高めます。強力なパスワードを使用し、定期的に変更していくことが重要ですが、これを管理するのは容易ではありません。そこで、多くの企業は強力でランダムなパスワードを生成するパスワード管理システムを導入しています。これにより、すべてのパスワードを記憶しなくても、各個人のアカウントや組織で共有するアカウントのパスワードを安全に管理できます。

ソフトウェアやシステムの更新の不備

ソフトウェアやシステムの更新を怠ると、技術スタックがサイバー攻撃に対して脆弱になります。ベンダーが配布する最新のセキュリティパッチを適用することで、既知の脆弱性を修正し、攻撃のリスクを低減できます。パッチ管理ツールはそういったパッチやアップデートの確認・実行を自動化し、サーバーやネットワークを常に最新の状態に保つことができます。

信頼できないソースからのファイルのダウンロード

信頼できないソースからのファイルをダウンロードすると、マルウェアやランサムウェアに感染するリスクが高まります。ファイルをダウンロードする際には常に細心の注意を払う必要がありますが、その鍵となるのは継続的なトレーニングと意識向上です。次節では、この点について詳しく解説します。

経営層向けサイバーセキュリティトレーニング:理想と現実のギャップを埋めるには?

サイバーセキュリティトレーニングの重要性とその現状について探ってみましょう。日本のIT・セキュリティ担当者の圧倒的多数が、経営層向けに特別なセキュリティ研修を実施すべきだと考えています。「経営幹部は、一般社員よりも多くのサイバーセキュリティのトレーニングを受ける必要がある」という意見に対して、「強く同意する」(34%) と「やや同意する」(55%) を合わせると、約9割にも及びます。

経営層には特別なセキュリティ研修が必要

では、現状はどうでしょうか。経営陣に対してサイバーセキュリティの追加トレーニングが提供されているかどうかを尋ねたところ、回答者の58%が「経営幹部にも一般の従業員にも同じセキュリティトレーニングを実施している」と答え、経営陣に対して追加トレーニングが提供されていると答えたのは26%にとどまりました。以下ご覧の通り、これは他国と比べて大幅に遅れをとっている状況です。

経営幹部に特別なセキュリティ研修を行う企業の国別データ

この理想と現実のギャップが生じる原因としては、時間・リソースの不足 (51%) や経営陣の抵抗感 (27%) などが挙げられています。しかし、セキュリティ教育を軽視することは企業にとって大きなリスクとなり得ます。実際、最近では大手出版社がランサムウェア攻撃を受け、重要なサービスが長期間停止する事態が発生し、社会に大きな衝撃を与えました[1]。このような事例からも、経営層のセキュリティ意識とトレーニングの重要性が明らかです。したがって、セキュリティ対策の一環として、全社的にトレーニングに取り組むことを推奨します。

経営幹部向け情報セキュリティ教育のポイント

セキュリティ教育の重要性への理解

自社のセキュリティ管理体制に精通しておくことはもちろん、インシデントが発生した場合には経営トップが説明責任を果たすことが求められます。これは顧客や取引先からの信頼に関わるため、経営層が十分な知識を持つことはビジネスに良い影響を与えます。

経営陣専用の「マニュアル」を用意する

働き方の変化や生成AIの活用などによって、セキュリティの当事者である経営者、ユーザー部門、セキュリティ部門の意識も変わる必要があるとガートナーが指摘しています[2]。そのため、セキュリティのルールは従来よくある汎用的なものではなく、各当事者に沿った「ユーザーマニュアル」を整備することが重要です。

自社の状況に合った学習形式を導入

時間やリソースが不足している場合には、オンライン学習やブレンド型学習などを導入することで、時間的な柔軟性を確保できます。また、短期集中コースや複数日程の設定など、実施や参加のハードルを下げる工夫も大切です。

脅威の動向情報の共有

経営層はすでに十分な知識を持っているかもしれません。実際、回答者の24%は、経営幹部が特別なトレーニングを受けていない理由としてこれを挙げています。しかし、サイバーセキュリティの状況は常に変化しており、日々新たな脅威やリスクが生じています。IT部門やセキュリティ部門が経営幹部と最新のサイバー脅威やトレンドに関する情報を定期的に共有し、知識を最新の状態に保つことが重要です。

まとめ

本調査により、経営層がサイバー攻撃の標的となりやすいことが明らかになりました。特に日本企業では、経営層が複数回攻撃を受ける割合が高く、サイバーセキュリティ上の課題が浮き彫りになっています。この状況に対処するためには、強力なパスワードの使用、ソフトウェアやシステムの定期的な更新、信頼できないソースからのファイルダウンロードの防止など、基本的でありながら効果的なセキュリティ対策を徹底することが重要です。

さらに、経営層向けのサイバーセキュリティトレーニングの重要性も強調されました。経営層に特別なトレーニングを実施すべきという理想に対し、多くの企業で追加トレーニングが実施されていない現実があります。このギャップを埋めるためには、経営層自身のセキュリティ意識を高め、企業全体でセキュリティ対策を強化する取り組みが求められます。

サイバーセキュリティのSaaSやソフトウェアをお探しですか?キャプテラのサイバーセキュリティソフトのリストをぜひご覧ください。


調査実施方法

*キャプテラの「経営層のサイバーセキュリティに関する調査」は2024年5月に回答者2,648名 (米国 (n=238), カナダ (n=235), ブラジル (n=246), メキシコ (n=238), 英国. (n=254), フランス (n=235), イタリア (n=233), ドイツ (n=243), スペイン (n=243), オーストラリア (n=241), 日本 (n=242)) に対してオンラインで実施されました。以下の条件に合致する方を対象としました。

  • 組織の規模を問わず、自社のIT業務またはセキュリティ業務に携わっている
  • 現在、会社でセキュリティソフトウェアを使用している
  • 自社のサイバーセキュリティ対策に関わっている、または把握している

出典一覧

1. KADOKAWAがランサム被害に, 日経XTech

2. Gartner、日本のセキュリティ/リスク・マネジメントのリーダーが2024年に押さえておくべき重要な論点を発表, Gartner