CompTIAというとIT資格という印象が強いが、実際には米国を中心とする世界の大手ITベンダーが200社以上参加している非営利のIT業界団体で、資格のほか、IT業界に関する各種調査なども行っている。今回のInternational Trends in Cybersecurity調査は2016年1月から2月にかけ、12か国(オーストラリア、ブラジル、カナダ、ドイツ、インド、日本、マレーシア、メキシコ、南アフリカ、タイ、アラブ首長国連邦、イギリス)、1,509人のビジネスおよびテクノロジーエグゼクティブへのオンラインアンケートという形で実施された。
調査対象の国全体で見た場合、73%の企業が、過去12か月に少なくとも1度セキュリティ違反またはインシデントを経験している。自己報告によるセキュリティ違反は、最も被害の多い国でインド(94%)、マレーシア(89%)、ブラジル(87%)、メキシコ(87%)、タイ(82%)。一方で、日本(39%)およびアラブ首長国連邦(40%)は、サイバーインシデントの報告が低い結果となった。
デバイスの紛失、モバイルマルウェア、フィッシング攻撃、スタッフによるセキュリティ機能の無効化といった、モバイルに関連したセキュリティインシデントを経験している割合は、12か国全体で76%とさらに上回る。自己報告によるモバイルインシデントは、高い国では、タイ(95%)、インド(92%)、メキシコ(89%)が挙がった。インシデントの低い国では、日本(60%)、アラブ首長国連邦(60%)、イギリス(64%)であった。
また、12か国中10か国では、ITオペレーションの変化に対応するため、サイバーセキュリティの取り組みを見直していることが判明。モバイル技術への依存やクラウドソリューションの活用などが、変化を推し進める最大の要因となっている。具体的な取り組みとしては、新入社員オリエンテーション、継続的なトレーニングプログラム、オンラインコース、ランダムに実施されるセキュリティ監査などが挙げられた。
しかし、自社のサイバーセキュリティ教育やトレーニング方法は「非常に有効」と回答した企業はわずか23%。あるエグゼクティブは、従業員トレーニングの必須化、より包括的なトレーニングの頻繁に実施する、トレーニングとフォローアップのための試験やアセスメントを組み合わせるなどで改善できるという。
ほぼ全てのマネージャ(96%)は、サイバーセキュリティトレーニングで得た知識を確実にするため、トレーニング後の試験実施が重要と考えている。10人中8人は、ITワーカーにとって認定資格は、サイバーセキュリティに関連する知識やスキルを証明する方法として「有効である」「非常に有効である」と回答した。
CompTIAリサーチ&インテリジェンス シニアディレクタであるAmy Carradoは、「サイバーセキュリティの知識や対応能力の重要性は、国を問わずますます高まっています。私どもが実施した調査結果では、79%の企業が、サイバーセキュリティは今後2年間で優先事項になると予測している」と述べている。
同調査の全報告書は、CompTIA米国本部のWebサイトより、登録後に無償で入手できる。
