プライスウォーターハウスクーパース(PwC)は11月5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査で、同社がCIO MagazineおよびCSO Magazineと共に経営層を対象とし、3月から5月にかけて実施した。
企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対し日本企業の平均は年間2.1億円と2倍の差があるという(金額は調査当時の為替レートによる)。
また、日本企業の4割以上がインシデントの発生要因を把握できていないことや、役員クラスの情報セキュリティリーダーが不足していることが分かり、情報セキュリティに対して日本企業の対策が十分な水準に達していないことが明らかになったとしている。
まず世界全体の動向をみると、1社あたりの年間平均インシデント数は前回の調査結果の3741件から32%増の4948件、また被害額の年間平均は前回の調査結果の2億円から34%増の2.7億円と、ともに大きく増加している。
一方、セキュリティインシデントの発生件数や被害額が増加しているにもかかわらず、情報セキュリティ投資額は前回の調査結果の年間平均4.4億円よりも4%減少し、年間平均4.2億円となった。また、2013年発生したセキュリティインシデントの主な要因は、現行の従業員(35%)、退職者(30%)、ハッカー(24%)という結果になっており、内部犯行という旧来型の脅威も依然として軽視できないことが分かる。
日本企業と世界全体の比較で注目されるポイントは以下の通り。
・日本企業の情報セキュリティ投資意欲は増加しているが、投資額は世界全体平均の半分
2013年1年間の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と、2倍の差があることが分かった。一方、「今後1年間の情報セキュリティ投資は前年に比べ増加しますか」という問いに対して、「増加する」と回答した日本企業の割合が前回の調査結果と比べ8%増となり、投資意欲は増加している。
・日本企業はインシデントの発生要因を把握できていない
世界全体の結果と比べると、日本企業は「退職者(11%)」や「委託業者(5%)」の回答数が少ない。また、インシデント発生要因を「わからない」と回答した企業は、世界全体の18%に対して、日本企業では半数近くの43%に上る。
インシデントの発生要因 Q: インシデントの原因は何でしょうか(複数回答)(PwC提供)
・日本企業には役員クラスの情報セキュリティリーダーが不足している
「情報セキュリティの重要性を積極的に訴えかける役員クラスのリーダーがいる」と回答した企業は、世界全体では64%であったのに対し、日本企業の回答は41%。
情報セキュリティに関する役員クラスのリーダーの有無 Q: 情報セキュリティの重要性を積極的に訴えかける役員クラスのリーダーがいますか(単一回答)(PwC提供)
こうした結果から、PwCでは日本企業が強化すべきセキュリティ上のポイントとして、以下のような項目を挙げている。
・適正なセキュリティ投資
日々複雑化し増大するサイバー攻撃やデジタルデバイスの多様化を考慮すると、日本企業における情報セキュリティ投資が十分な水準にあるとは考えにくい。企業が自社にとって適切なセキュリティ対策を行うためには、「重要な情報資産の棚卸し」「社内外にいる潜在的な攻撃者の目線でのリスク評価」「既存のセキュリティ対策の効果測定」の3点が必要であると指摘する。
・内部犯行への対策
日本では近年、退職者や委託業者による個人情報や機密情報の漏えいが数多く発生していることを考えると、発生要因が「分からない」と回答した中には、これらの内部関係者が含まれていた可能性があるとみられる。
当社は内部犯行への対策として、退職者や委託業者を含めた内部関係者の範囲の再定義、脅威シナリオの再考、内部犯行に対するモニタリングの環境整備が求められる。
・セキュリティ管理のリーダーシップ
7月10日に開催された情報セキュリティ政策会議における「サイバーセキュリティ 2014」に、「金融庁において、上場企業におけるサイバー攻撃によるインシデントの可能性などについて、米国の証券取引委員会(SEC)における取組等を参考にしつつ、事業などのリスクとして投資家に開示することの可能性を検討し、結論を得る」ことが明記された。
今後、サイバーセキュリティ対策は役員全員が取り組むべき重要な経営課題となる。企業は、セキュリティ対策を担当する役員クラスのリーダーを任命し、内部犯行やサイバー攻撃に立ち向かう企業の姿勢を社内外に示すことが求められるようになるとPwCは想定している。