地震とサイバー攻撃はどちらが怖いか--PwC調査で浮かんだ“示唆”

國谷武史 (編集部) 2018年06月18日 07時00分

  • このエントリーをはてなブックマークに追加
  • 印刷
    •

 PwC JapanグループのPwC コンサルティング、PwC サイバーサービス、PwC あらた有限責任監査法人は6月15日、「グローバル情報セキュリティ調査 2018(日本版)」を発表した。そこでは「可用性」がキーワードに挙げられ、事業継続の視点からセキュリティ対策を考える必要性などが提起された。

 この調査は、PwCグループが企業の最高情報責任者(CIO)などを含む経営層を対象に毎年実施している。20回目となる今回の調査は4月24日から5月26日にかけてオンラインで実施され、122カ国9500人上(日本は257人)が回答した。

業種別・2016年と2017年のインシデント検知数の変化。減少した業種は増加した4業種よりも監視対策の強化が進み、4業種も遅れて体制が整備されたことで、結果的に検知数が増えた可能性があるという(PwC Japan提供)
業種別・2016年と2017年のインシデント検知数の変化。減少した業種は増加した4業種よりも監視対策の強化が進み、4業種も遅れて体制が整備されたことで、結果的に検知数が増えた可能性があるという(PwC Japan提供)
PwC コンサルティング パートナーの山本直樹氏
PwC コンサルティング パートナーの山本直樹氏

 2017年の世界全体の傾向は、セキュリティインシデントの検出が2016年比で30%減少した。業界別では、エンターテインメント・メディアと通信で50%以上減少した一方、ヘルスケアや製薬、製造(自動車を除く)、公共では上昇したという。推定損害額も同様の傾向にあり、検出や損害が減少している多くの業界が、セキュリティ投資を大幅に減少させていることも分かった。

 結果について、PwC コンサルティング パートナーの山本直樹氏は、サイバー攻撃が企業を狙うより不特定多数を相手に、仮想通貨の発掘など簡単に収益を得られる傾向に変化していると解説。しかし、総じて脅威の衰退が確認されている訳ではないことや、IoTなど新たな投資領域も拡大していることから、継続的なセキュリティの取り組みが必要だと指摘している。

日本企業に関する2つの示唆

 加えて山本氏は、今回の調査から日本企業に関して「可用性」と「自信」の2つの示唆が浮かび上がったと話す。「可用性」では、重要なセキュリティ対策に「サプライチェーンのセキュリティ基準の定着」を挙げた割合が、世界平均の49%に対し、日本は60%に上った。「自信」では、「とても自信がある」「やや自信がある」の合計が世界平均の74%に対し、日本は38%にとどまった。

 「可用性」に関する考察では、2017年5月に発生したワーム型ランサムウェア「WannaCry」の流行が影響していると見る。WannaCryの被害は海外で目立ったが、国内でも自動車メーカーの工場が操業停止に追い込まれるなどの事態が起きたことで、これまで「情報の秘密をいかに守るか」が重視されたセキュリティ意識に、「業務をいかに止めないか」という点も加わり始めているという。

情報セキュリティの3原則「機密性」「可用性」「完全性」では、これまで「機密性」重視の傾向が強く、ランサムウェアによる事業停止被害などで「可用性」への意識も高まり始めているという
情報セキュリティの3原則「機密性」「可用性」「完全性」では、これまで「機密性」重視の傾向が強く、ランサムウェアによる事業停止被害などで「可用性」への意識も高まり始めているという

 山本氏は、PwCが2014年に実施した「IT-BCPサーベイ」の報告書を引用し、日本企業では自然災害リスクの観点から取り組まれている事業継続の計画(BCP)をサイバーセキュリティに応用することをアドバイスした。IT-BCPサーベイは、2011年の東日本大震災を踏まえて実施したといい、この調査では50%が想定リスクに「地震」を挙げ、「サイバー犯罪」は11%だった。山本氏の所感では、WannaCryの流行からBCPとしてのサイバーセキュリティ意識が高まりだしたとしている。

 サイバーセキュリティのBCPでは、自然災害のBCPとの共通点と相違点を踏まえ、相違点を補完しながら整備する方法が1つにある。例えば自然災害のBCPでは、地震リスクを想定して東京と大阪でITシステムを冗長化するというケースが多い。しかしワームのようなマルウェアの感染リスクを想定すると、地理的にシステムが分かれていようが、ネットワーク接続されている以上は、ほとんど意味がない。

 またサプライチェーンに関して、自然災害のBCPでは平時から調達先を広げておき、どこかが被災しても別の調達先に発注量を増やすことで事業への影響をとどめる。サイバーセキュリティのBCPでも、例えばある調達先がランサムウェアに感染して事業が停止した場合に備え、平時から調達先を広げおく方法が有効になる。ただ、ネットワークを通じて影響が拡大するリスクがあるため、ネットワークのセグメンテーションや監視などを設計時に十分考慮しておかなければならないという。

災害BCPとサイバーセキュリティのBCPの比較ポイントの一例
災害BCPとサイバーセキュリティのBCPの比較ポイントの一例

 自然災害やサイバー攻撃のリスクを踏まえた事業継続としては、例えば、サプライチェーンを含めたITシステムをグローバルのクラウドサービスで運用する方法がある。データセンターが世界中に分散していれば、まず地理的な対応がしやすい。サイバー攻撃のリスクも、一般的にユーザー企業が自前で多くの対応をこなすよりもクラウド事業者側がなされている部分が多く、リスクを軽減しやすいとされる。

 ただし自然災害リスクを重視したBCPでは、よく「地震の発生確率は数百年に一度。東京と大阪でシステムを冗長化したからもう安心だ」と、取り組みを実質的に止めてしまうようなことが多い。一方でサイバー攻撃のリスクは、攻撃手法が常に変化するなどの性質から継続的な取り組みが欠かせない。こうしたBCPに対する意識のギャップを変えられるかも大きな課題となる。

「自信」がない、には?

「自信」がない、には?

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNet Japan トップへ
  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連記事

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算

CNET Japanトップストーリー

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]