サイバーセキュリティに対して日本の経営層は、勉強不足と自己弁護に終始。基本セキュリティ用語すら知らず【Kaspersky調べ】

Kaspersky（カスペルスキー）は、「経営幹部のサイバーセキュリティへの認識」に関する調査結果を発表した。24国・地域のIT/セキュリティ部門以外の経営幹部2,300人から回答を得ている。

セキュリティへの対応、日本の経営層の勉強不足と自己弁護が目立つ

この調査では、「フィッシング」「ランサムウェア」「マルウェア」「トロイの木馬」「DDoS」「ゼロデイエクスプロイト（ゼロデイ攻撃）」「バックドア」「クリプトマイナー」「スパイウェア」「ボットネット」「APT（持続的標的型攻撃）」「ソーシャルエンジニアリング」「DevSecOps」「ゼロトラスト」「SOC」「情報セキュリティポリシー」「侵入テスト」「脆弱性管理」「セキュリティ管理」「サイバーセキュリティアセスメント」「脅威インテリジェンス」「インシデントレスポンス」といった、サイバーセキュリティに関する基本用語の認知を質問している。

その結果、ワールドワイドで全体の10人に1人ほどが「ボットネット」「APT」「ゼロデイエクスプロイト」「DevSecOps」「ゼロトラスト」「SOC」「侵入テスト」などのサイバーセキュリティ関連用語について、聞いたことがない・知らないと回答した。

特に「ボットネット」12%・日本27%、「APT攻撃」11%・日本37%、「ゼロデイエクスプロイト」11%・日本33%、「DevSecOps」13%・日本38%、「ゼロトラスト」11%・日本22%、「侵入テスト」11%・日本32%などで「聞いたことがない」と回答しており、日本の経営層の認知不足が目立つ。

なお全体の22%（日本16%）は、「IT/セキュリティ部門との会議中に理解できないことがあっても、それを伝えることをためらう」と回答している。一方その理由としては「会議後にその関係者に確認したい」50%・日本63%、「自分で解決したい」38%・日本50%のほか、「IT担当者から分かりやすい説明があるとは思えない」37%・日本44%、「IT担当者から知識不足だと思われたくない」33%・日本63%となっており、日本の経営層の勉強不足と自己弁護が目立つ結果となっている。

調査概要

• 【調査対象】24国・地域。年に一回以上IT・ITセキュリティ担当者とセキュリティ関連のディスカッションをする、IT/セキュリティに従事していない経営層（18歳以上）
• 【調査方法】Kasperskyの依頼により、英Censuswide社がオンラインで実施
• 【調査時期】2022年10月5日～19日
• 【有効回答数】2,300人（24国・地域：各100人：インド、インドネシア、マレーシア、シンガポール、日本、フランス、ドイツ、イタリア、スペイン、英国、オランダ、ベルギー、ブラジル、メキシコ、コロンビア、アルゼンチン、チリ、ペルー、トルコ、南アフリカ、カナダ、米国。各50人：アラブ首長国連邦、サウジアラビア）