グローバル情報セキュリティ調査2018(日本版)
2018年06月15日PwCコンサルティング合同会社、PwCサイバーサービス合同会社、PwCあらた有限責任監査法人は、6月15日、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表しました。
本調査は、世界最大級のプロフェッショナルサービスネットワークであるPwCが、CIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査です。
本調査の結果、日本企業はグローバルと比較し、サイバーセキュリティ戦略の見直し頻度が高い一方、自社のサイバーセキュリティ対策への自信は顕著に低い実態が浮き彫りになりました。また、原料調達から消費者に届くまでのサプライチェーン全般へのセキュリティ基準定着を重要視する傾向がみられ、事業継続を脅かすサイバーインシデントに強い危機感を持っていることが推察されました。
主な調査結果
グローバル全体での傾向
・サイバー社会の相互依存性によるリスクの高まり
世界経済フォーラム(WEF)によると、インフラネットワークにおけるサイバー相互依存の高まりは、世界的にトップレベルのリスク要因とされています*1。世界各国の多くの人々、特に日本や米国、ドイツ、英国、韓国は、他国からのサイバー攻撃を危惧していることが分かっています*2。一方で、サイバーセキュリティの準備状況は国によって大きな差があるといわれています*3。本調査より、サイバーセキュリティ戦略の見直し頻度が特に高い国は日本(72%、図3参照)であることが分かりました。
・経営陣のサイバーリスクへの備えに対する責任
大半の企業の取締役会が自社のセキュリティ戦略や投資計画に積極的に関与していない実態が浮かび上がりました。取締役会が包括的なセキュリティ戦略に積極的に参加しているという回答は44%に過ぎず、いまだセキュリティをITの問題と捉えていることが分かります。
・経営陣がとるべき次のステップ
経営陣は自ら先頭に立ち、セキュリティ戦略へ積極的にかかわり、リスク回避の域にとどまらず、利益を得る手段としてレジリエンスを追求していくことが必要です。例えば日本では、2011年の東日本大震災が起こる前に事業継続計画(BCP)を作成していた企業は、災害後、競合他社よりも早く業務を再開でき、市場シェアを伸ばしたことが分かっています*4。世界各国の政府は、主要業界のレジリエンス強化のために有用なプラクティスやテクノロジーを開発し、長期的な利益を得ています。
世界全体と日本企業の調査結果の比較
・日本企業はサプライチェーンへのセキュリティ基準の定着を重視
2017年5月に発生したランサムウェア騒動にもあるように、システムの可用性をターゲットとした世界規模のサイバー攻撃が発生しています。ネットワークが複雑化し、企業間の相互依存性が高まる現代においては、サプライチェーンのうち1社が業務を停止すると、全体へ波及し、大きな損害を引き起こしかねません。直近の重要なサイバー対策として、「サプライチェーンへのセキュリティ基準の定着」を重視する日本企業が多いことが分かりました【図1】。
・サイバーセキュリティ対策に自信のない日本企業
サイバーセキュリティ対策への自信について調査したところ、「自信がある」と回答した企業は、グローバル74%に対し、日本企業は38%にとどまりました【図2】。しかしながら、日本企業が、グローバルに比して大きく遅れているわけではありません。上記に挙げたとおり、サイバーセキュリティ戦略の定期的な見直しや、従業員の教育など、積極的に進めている施策もあることが分かります【図3】。
調査結果に基づいた日本企業への示唆
・自然災害へのBCPをサイバー攻撃へのBCPへ転用する
自然災害の多い日本では、以前から多くの企業がBCP(事業継続計画)を策定し、運用してきました。自然災害へのBCPとサイバー攻撃へのBCPは共通点も多く【図4】、これまでのノウハウを有効活用できると考えられます。自然災害へのBCPをサイバー攻撃へも拡張し、障害が発生した場合においても、事業を継続することができるようにしておくことが必要と考えられます。
・経営陣が正しく理解できる報告
セキュリティ投資に関する報告は、サイバーセキュリティの技術用語を多用するのではなく、経営陣が常日頃より接している指標や用語を用いて行うことが効果的です。大多数の経営陣は、どの程度損失・復旧コストが生じたのか、株価がどの程度影響を受けたのかなどを気にかけています。経営陣が実感として理解できる報告を行うことが必要です。
調査概要
「グローバル情報セキュリティ調査2018」
・調査主体:PwC、CIO Magazine、CSO Magazine
・調査期間:2017年4月24日~2017年5月26日
・調査方法:オンライン調査
・調査対象:9,500人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、ITおよび情報セキュリティ役員。うち日本の回答は257人。
・調査地域:122カ国(北アメリカ38%、欧州29%、アジア18%、南アメリカ14%、中東および南アフリカ1%)
