KPMGコンサルティングは1月19日、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2022」を発表した。
5回目となる今回の調査では、「サイバーセキュリティ」「リモートワークセキュリティ」「制御システムセキュリティ」の3つのテーマが掲げられた。また、過去4回の調査では「経産省のガイドライン」を手引きとして調査項目を構成していたが、今回は米国立標準技術研究所(NIST)の「Cyber Security Framework」(NIST CSF)を意識し、それをベンチマークとして活用しながら調査項目を構成している点が特徴となる。調査対象は国内上場企業および売上高400億円以上の未上場企業のサイバーセキュリティ責任者で、有効回答数は285件。
レポートの発行責任者であり、同社 Technology Risk Services パートナー、KPMGジャパン サイバーアドバイザリーグループ統括の田口篤氏は調査について「毎回その時どきの時流に合わせた世の中の関心度が高いトピック、経年で変化を追いたい定常的な質問というものを織り交ぜて企画している」といい、今回は「リモートワーク/在宅勤務が世の中に定着してきていることから、企業側はリモート勤務/在宅勤務にどのくらいの課題感を持ってサイバー対策を実施する環境を整えているのか」を意識したと話す。
続いて、同社 Technology Risk Services パートナーの薩摩貴人氏が調査結果の概要を説明した。同氏はまず調査の狙いについて「コロナ禍がセキュリティへの対応や投資にどのような影響を与えているのか、広く情報を収集してそれを社会に還元していきたいという思いがあった」と紹介。また、今回からNST CSFを意識した構成とした点については、NIST CSFが「デファクトスタンダード(事実上の標準)化してきている」ことを理由に挙げた。
サイバーセキュリティサーベイ2022の狙いと特徴
調査結果としては、まずサイバーセキュリティに関して、30.5%が「サイバーインシデントや不正侵入の痕跡を発見」しており、前回の約21%から10ポイント近く上昇している一方、65.6%が「サイバーセキュリティ対策への予算不足」、79.0%が「情報セキュリティ人材不足」と回答しており、サイバー攻撃が激化する中で対策の手が回っていない現状がうかがえる。
なお、同氏はこの結果を受けて「予算や人員を割り当てて対策を強化している企業と、予算が捻出できなくなっている企業に二極化の傾向を感じる」と指摘した。
サイバーセキュリティに関する主な調査結果
また、リモートワークセキュリティについては、75.1%が「在宅勤務を導入」しており、50.5%が「従業員による内部不正を懸念」しているという結果だった。さらに、在宅勤務率が高いほど内部不正を懸念する企業が増える傾向だという。これに関しては、金融機関など以前からセキュリティや機密保持を重視してきた業界で、重要情報を扱える場所を厳密に管理するといった物理的なセキュリティ対策を実施していた企業で見られる傾向とのことで、自宅などの環境では従来実施していたセキュリティ対策と同等の対応はできないことに起因するという。
例えば、持ち出し禁止の機密情報について、「特定の端末の画面に表示することだけが認められ、コピーやカット&ペーストなどの操作は禁止」されている設定になっていた場合、従業員の自宅端末で同じように対処したとしても、「端末の画面の写真を撮る」といった方法で情報が流出する可能性が考えられる。社内などの人の目がある場所ではできないような不審な行動が自宅ではできてしまうということだ。
最後に、制御システムセキュリティ(いわゆるOT分野でのセキュリティ対策)については、世界に比べて日本の対応が大きく遅れていると指摘された。同社 Technology Risk Services シニアマネージャーの保坂範和氏はその理由について、世界ではスマートファクトリーなどを狙った攻撃が既に発生しているなど、外部環境の違いが大きいのではないかと指摘している。
リモートワークセキュリティと制御システムセキュリティに関する主な調査結果