サイバーセキュリティ企業VikingCloudの最新調査によると、多くの「重大な」サイバーセキュリティ侵害が、企業の経営陣や取締役会に報告されていない実態が明らかになりました。

調査結果によれば、サイバーセキュリティリーダーの約半数（48%）が、過去1年間に発生した「重大な」サイバーセキュリティインシデントを、経営陣や取締役会に報告していませんでした。報告をためらう主な理由としては、リーダーシップ層からの懲罰的な対応への懸念（40%）と、インシデントが公になった場合や規制上の結果を招いた場合の金銭的・風評的損害への恐れ（44%）が挙げられています。

VikingCloudのサイバーセキュリティエバンジェリストであるジョン・マーラー氏は、「リーダーシップの立場にあるなら、自社でこのような事態が起きていないか確認する必要がある」と述べ、責任ある文化を醸成し、従業員が職を失うことを恐れずに情報を開示できる仕組みを作ることの重要性を強調しました。

法的な観点から、法律事務所Hunton Andrews Kurthのパートナーであるスコット・キンペル氏は、この調査は「高レベルすぎる」と指摘。多くのインシデント対応計画では、非常に限定的な状況を除き、取締役会やCレベルへのエスカレーションを義務付けていないこと、また「重大なサイバーセキュリティインシデント」という主要な用語の定義が不明確である点を挙げました。キンペル氏は、企業がそれぞれの状況に合わせてインシデント対応計画を策定することの重要性を強調しています。

サイバーセキュリティ企業BreachRxのCEOであるアンディ・ランスフォード氏も、VikingCloudの調査結果は自社の研究と一致すると述べています。同氏は、重大なサイバーインシデントを報告しないことは、短期的な安堵をもたらすかもしれませんが、最終的には企業と経営陣全体がより大きな責任を負うことになると警告しました。

この調査は、サイバー攻撃が頻度と深刻さの両面で増加している中で発表されました。特に、AIがこの急増の主要な推進力となっており、回答者の半数以上（51%）が、生成AIやエージェントAIによるフィッシングキャンペーンを新たなサイバー攻撃技術における最大の懸念事項として挙げています。これは、昨年の22%から大幅な増加です。

VikingCloudは、強力なサイバーセキュリティ防御には、すべてのインシデントを報告するための安全な環境を提供する企業セキュリティ文化の構築が必要であると提言しています。サイバーセキュリティリーダーと経営陣は、明確な報告プロトコルを確立し、継続的な学習と改善の文化を築く責任があります。

この調査は、米国、英国、アイルランドのサイバーセキュリティリーダー200人（ディレクター以上）を対象に実施されました。対象となった業界は、ヘルスケア、小売、ホスピタリティ、フードサービス、旅行など多岐にわたります。

元記事：[Many ‘material’ cybersecurity breaches go unreported: VikingCloud](https://www.cybersecuritydive.com/news/cybersecurity-breaches-unreported-vikingcloud/700000/)