EY Japanは、同社が実施した情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)2017-18」の結果を発表した。日本を含む59カ国・1200以上の組織が回答している(日本の回答の割合は7%)。
日本のセキュリティ予算は足りず、減額も
EYアドバイザリー・アンド・コンサルティング パートナーの藤井仁志氏
調査結果についてEYアドバイザリー・アンド・コンサルティング パートナーの藤井仁志氏と、新日本有限責任監査法人 FIDS(不正対策・係争サポート)事業部 エグゼクティブディレクターの杉山一郎氏が詳細を説明した。
藤井氏は、「20th GISS 2017-18にみる日本とグローバルのサイバーセキュリティの違いと示唆」と題した説明で、特徴的な調査結果として、「サイバーセキュリティ予算の獲得」「新技術の採用に起因する新たなリスクの認識」「体制とソーシング戦略」の3つをポイントに挙げた。
サイバーセキュリティ予算の獲得では、現状に対するセキュリティ予算の要望額のグラフを示した。この数値は割合で、低いほどセキュリティ対策が進んでいると考えられる。調査結果ではグローバル、日本ともに「0~25%」が最も多かった。しかしその差は開いており、「まだまだ日本はセキュリティ対策が整いつつある企業が少ない」と指摘した。また、「76%以上の増額が必要」とする企業の割合は、日本がグローバルよりはるかに高く、セキュリティ対策が足りていない企業が多いとした。
セキュリティ予算の増額要望(現状比)、出典:EY Japan
こうした要望に対し、実際のセキュリティ予算に関する今後12カ月の見通しは、グローバルでは「5%から15%の増額」が最も多いが、日本では「増減なし」が最も多い。また、グローバルでは減額するケースがわずかだったものの、日本では「15%から25%の減額」とする回答が10%以上あった。予算増額のきっかけとなる可能性の低いイベントについては、「組織に影響のあるセキュリティ侵害の発見」が最も低いが、「競合他社へのサイバー攻撃」「サプライヤーへのサイバー攻撃」の順で割合が増え、藤井氏は「自らが痛みを伴わない場合は増額のトリガになりにくい」と指摘した。
セキュリティ予算の見通しと、予算増額のトリガになる可能性の低いイベント、出典:EY Japan
日本の体制は整いつつあるが熟成には時間が必要
企業が考えるサイバー攻撃を行う主体について、全般的に日本はグローバルより認識が高い結果となった。だが「単独のハッカー」との回答がグローバルよりも日本の方がはるかに多く、企業はハッカーが組織化されている現状を把握できていないことが明らかになっている。
また、クラウドコンピューティングの利用に関する脆弱性の影響は、日本ではグローバルに比べて少ない。藤井氏は、その理由を「日本企業のクラウド利用が本格化していないため」と推測。IoTのセキュリティ課題についても同様のことが言えるとした。
サイバー攻撃を行う主体の認識、出典:EY Japan
ただし、情報セキュリティに責任を負う役職者が取締役会メンバーである割合は、日本では64.0%に上り、グローバルの23.7%に比べてはるかに高い。藤井氏は、「情報セキュリティに経営層が関与するケースが増えたことは喜ばしいが、『現状では十分な知識は持っていないが理解を深めつつある』という段階が6割を占めており、まだまだ成熟に時間がかかる」と述べた。