トレンドマイクロは、「サイバーセキュリティに関する調査」の結果を発表した。それによると国内大企業の最高情報セキュリティ責任者(CISO)または最高セキュリティ責任者(CSO)の設置率は38.7%で、同等ポジションを含むと73.3%、未設置は24.3%だった。
また、CISO/CSO(呼称の異なる同等ポジションを含む)を設置しているとの回答者にCISO/CSO自身の役職を聞いたところ、「経営者」が7.3%、「役員クラス」が64.5%で、合計では7割以上が経営に関与するポジションを担っていることが分かった。直接のレポートライン(指揮命令系統)は、「CEO(最高経営責任者)」が49.1%で、「CIO(最高情報責任者)」が12.3%、「COO(最高執行責任者)」が10.0%、「CRO(最高リスク管理責任者)」が9.1%と続いた。
この調査は、従業員規模1000人以上の国内企業に勤務するセキュリティ責任者とデジタルトランスフォーメーション(DX)責任者(経営層~部長級)を対象に、6月2~8日にインターネット経由で実施した。
また自社の委託先、グループ会社、グローバル拠点いずれかに対して、サプライチェーン(供給網)へサイバー攻撃を受けたことがあるかを聞いたところ、「ある」という回答が43.3%を占めた。委託先へのサイバー攻撃は16.7%、グループ会社へは30.7%、グローバル拠点へは28.3%が攻撃を受けたことがあると回答しており、多くの企業が自社のサプライチェーンにサイバー攻撃を受けている実態が明らかになった。
さらにサプライチェーンへサイバー攻撃があったと回答した人に、その被害内容を聞いたところ、「なりすましメールの送受信」が26.2%で最も多く、「その他業務への支障」が19.2%、「自社業務の一部または全部が停止」が16.9%と続いた。
また、自社業務の一部または全部が停止したと回答した人に、業務が停止した期間を聞いたところ、復旧に1日以上かかった割合が6割を超えた(回答者数が22人と少ないため参考値)。
その他の調査結果では、「勤務先のセキュリティ予算が連結売上高に占める割合」を聞いたところ、JCIC(日本サイバーセキュリティ・イノベーション委員会)が示す「連結売上高の0.5%」というセキュリティ投資額の基準を満たさない回答が44.7%で、基準以上という回答(12.0%)を上回った。
さらに、現在のセキュリティ投資額が自社の防衛に対して十分だと思うかについては「不足」が41.3%と「妥当」の33.7%よりも高く、今の投資額では不足しているという認識が多くあることも分かった。
自社の防衛に対してセキュリティ投資額が不足していると回答した人に対し、特に不足していると思う項目について聞いたところ「人材」という回答が58.9%で最も多く、「SOC(サイバー攻撃の検知や分析などを行い、対応策を示す専門組織)」が17.7%と続いた。
