世界を代表する大手企業群、フォーチュン500の公開情報を分析したところ、実はCISOを置いている企業は全体の38%だったというBitglass社の衝撃的な調査結果が発表されていました。
www.helpnetsecurity.com
■Bitglass社の発表 38% of the Fortune 500 do not have a CISO
・Fortune 500の77%が、セキュリティ戦略の責任者についてウェブサイトに記載していません。
・52%のWebサイトには、法的に必要なプライバシー通知を超えて、顧客およびパートナーのデータを保護する方法についての言語がありません。
・2019年のFortune 500の38%には最高情報セキュリティ責任者(CISO)がいません。
・この38%のうち、セキュリティの副社長など、サイバーセキュリティ戦略の責任者としてリストされている別のエグゼクティブがいるのは16%だけです。
・CISOを持っている62%のうち、4%だけが会社のリーダーシップページにリストされています。
(Helpnetsecurity記事より引用)※機械翻訳
◆キタきつねの所感
日本でも「CISO不在」や「なんちゃってCISO」が問題になって久しいのですが、米国などのフォーチュン500企業でも60%以上がCISO不在である事は、驚きでした。
恐らく、内部にCISOは立てているのでしょうが、役員会に出る様な権限を持ってない(※本来は役員級です)から、会社のホームページに掲載してないのだろうとは思いますが、それにしても情報セキュリティの専門的知見を持つ企業幹部(かつ取締役会にて経営層に直接説明ができる人)が不在でる会社が多いのだとすれば、サイバー攻撃に対する防御や、予算が無いが故の被害拡大リスクが懸念されます。
今回の記事では業界別のデータも公開されています。
セキュリティ重視の姿勢が調査データから見える業界としては、
・運輸業界は最もセキュリティを重視する業界であり、57%の企業がサイバーセキュリティ戦略の責任者としてエグゼクティブを挙げています。
・航空宇宙産業(33%)と保険産業(30%)は、それぞれ2番目と3番目になっています。
・航空宇宙に続いて金融(72%)と技術(66%)があります。
(Helpnetsecurity記事より引用)※機械翻訳
が挙げられています。この辺りは過去からサイバー攻撃を受け続けてきた業界と言えるので妥当なところかと思います。
一方で、気になるセキュリティが軽視されている・・・と見える業界としては、
・ホスピタリティ企業には、サイバーセキュリティ戦略を担当するエグゼクティブはいません。製造業と電気通信業界はそれぞれ8%と9%でそれに続いています。
・建設、石油、ガス、ホスピタリティ業界のそれぞれにおいて、顧客およびパートナーデータを保護する方法に関する情報をWebサイトに持っている組織はわずか25%です。
(Helpnetsecurity記事より引用)※機械翻訳
ホスピタリティ企業とは、ホテルや旅行系の会社がこれに当たります。米国の場合だと世界に名が知れた巨大ホテルチェーンも多い訳ですが、Westinホテル等、大きな被害を出した事件も出ていますので、何となく理解ができます。また製造業と電気通信業界、、製造業は分かるのですが、電気通信業界(インフラ系)の比率が低いのは気になる所です。
こうした業界は、サプライチェーン攻撃など自社が想定している攻撃ルート以外を攻められると(体制の問題や、防御の穴を潰しきれてないので)大きな被害につながる企業が多いかも知れません。
日本でも、業界別の取り組みは同じ傾向がある可能性は高いかと思いますが、ハッカー側からすると狙いやすい企業として対象となりやすくなる、今回の調査データは、ハッカー側にとっても攻撃対象を絞りやすくなるデータになってしまっていると言えるかも知れません。
※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。
www.jpac-privacy.jp
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
