KPMGコンサルティングは2月26日、6回目となる「KPMGサイバーセキュリティサーベイ2023」を発表した。今回の調査は海外子会社管理やAI導入に伴うリスクについても調査している。
KPMGコンサルティング 澤田氏
同レポートでは10社に1社が過去1年間にサイバー攻撃を受けたと回答し、現状把握とリスクの理解が重要であることを明確にした。KPMGコンサルティング Technology Risk Services 執行役員 パートナーの澤田智輝氏は、海外子会社のセキュリティ対策について「例えば海外にセキュリティ責任者を置き、本社へのレポーティングなどを明示化すると良い。ファーストステップとしては役割分担を明確にする」と調査結果を踏まえた手法を提示した。
今回の調査は2023年6月9日から7月3日まで、郵送およびウェブ経由で国内上場企業、および売上高400億円以上の未上場企業、合わせて258社のサイバーセキュリティ責任者を対象に実施。企業に対するサイバー攻撃やセキュリティ対策の状況、海外子会社管理、制御システムセキュリティ、AI導入に関連するリスク管理をまとめている。
発表会ではエグゼクティブサマリーとして(1)サイバー攻撃の実態、(2)セキュリティ管理態勢と対策、(3)海外子会社管理、(4)制御システムセキュリティ、(5)AI導入とAI導入にかかるリスク管理――の5つのテーマを解説した。
(1)サイバー攻撃の実態では、「1000万円以上の被害に遭った」と回答する企業は30%、「子会社や委託先のシステムを経由した攻撃」は41.5%を占めるという。内訳を見ると2022年の調査時は16.1%にとどまっていた1000万円以上の被害企業が、1000万円~1億円未満は14.9%から23.3%、被害額1億円以上も1.2%から6.7%と高額化の傾向がうかがえる。
後者の攻撃経路も本社システム経由の攻撃も同じく18.5%だが、国内子会社などを経由した攻撃は18.5%、委託先経由は13.8%、海外子会社は9.2%とサイバー犯罪者が網羅的にシステムの穴を捜し出してサイバー攻撃を仕掛ける傾向が強まった。ただし、被害額の調査結果は2022年がn=87、2023年はn=30と回答企業数が異なる点に留意しなければならない。
(2)セキュリティ管理態勢では、68.2%の企業はサイバーセキュリティ予算が「不足している」と回答し、サイバーセキュリティ人材も88.8%の企業が「不足している」という。内訳を見ると、予算について「大いに不足」と回答した企業は15.9%、「やや不足」と回答した企業は52.3%に達した。人材面も「大いに不足」は38.4%で、「やや不足」は50.4%だった。
KPMGコンサルティング 雪本氏
KPMGコンサルティング Technology Risk Services ディレクターの雪本竜司氏は「人材不足は9割にほぼ達した。支援している顧客からは人材育成の苦悩話を耳にするものの、外部採用も難しく、社内人材にセキュリティに関する知見の蓄積を考えている」と現状を説明した。だが、最高情報セキュリティ責任者(CISO)やサイバーセキュリティ責任者を設置している企業は60.9%(n=258)で、2022年の58.6%(n=285)を若干上回る程度。
情報セキュリティチームが24時間サイバーセキュリティの脅威検出・応答を担うセキュリティオペレーションセンター(SOC)の整備状況は、「自社構築」が5.8%、「外部サービスを利用する企業」が34.2%。「自社SOCと外部SOCサービスを併用する企業」の5%を足すと45%に達するものの、2022年の45.6%をわずかに下回る。
セキュリティインシデントの対応組織となるCSIRT(Computer Security Incident Response Team)は、27.3%が「設置済み」、9.4%が「設置予定」と回答した。この結果を踏まえて雪本氏は、「2022年比では組織として体制を構築する意識が浸透し始めている」と述べる。
具体的なセキュリティ対策も全般的に拡大しつつも、「ユーザー/エンティティーの行動分析(UEBA)」は2.3%(ある程度と回答した企業は10.9%)、「セキュリティ運用の自動化(SOAR)」は1.2%(同10.5%)と振るわない。雪本氏は「合わせても12~13%程度。当然ながら費用も発生するが、(UEBA/SOARは)自動化で人材不足の課題を解決するソリューション。少しずつ導入する企業が増えることを期待したい」と述べている。
(3)海外子会社管理では、57%の企業が海外子会社のセキュリティ状況を把握せず、必要に応じて対応する仕組みにとどまっているという。「子会社の情報セキュリティ状況を把握していない企業」は23.5%(n=162、以下同)、「各子会社の対応に委ねている」のは34%。「本社による中央管理」はわずか16%だった。このセキュリティ意識が委託先・子会社からのセキュリティ攻撃を増加させる一因であるという。
海外子会社のセキュリティ対策報告は43.4%が調査票を提出させているが、39.1%の企業は状況を把握していない。さらに45.4%の企業がサイバーインシデントの再発防止が国内外の子会社へ未展開である。「本社・国内外の対応」は33.8%、「本社・国内子会社での対応」は20.8%の企業が展開しているものの、「インシデントが発生した子会社と本社で共有する」企業は24%、「インシデントが発生した会社のみの展開」は21.4%だった。雪本氏は「発生したインシデントを“対岸の火事”とせずに横展開で被害を防いだ事例もあるが、改善の余地は大きい」と警鐘を鳴らしている。
(4)制御システムセキュリティは、「サイバーセキュリティのプロセスは未整理で文書化されておらず、活動も整理していない状況」をレベル1、「サイバーセキュリティの実装において、基本的なプロジェクトマネジメントが実施されている」とレベル2、「文書化されたプロセスや手順に基づいてセキュリティ対策を実施している状況」をレベル3、「サイバーセキュリティ向上を目的にデータ収集と分析を実施している状況」をレベル4、「フィードバックで継続的に改善し、組織の需要に応じて柔軟に対応する状況」をレベル5と、5段階の熟成度レベルで調査している。
全般的にはレベル1が43.4%(n=182、以下同)。従業員数別では大企業ほど成績が良く、999人未満の企業は42.4%、499人未満の企業はレベル1が52.3%と回答し、セキュリティシステム以前に業務遂行のデジタル化を推進するルール構築に至っていないケースが見受けられた。
個別の被害例を見るとリムーバブルメディア経由のマルウェア感染が6%(n=182)まで低下している。2022年の同項目は21.3%(n=88)だった。雪本氏は「本社とのネットワーク接続を背景にリムーバブルメディアの使用頻度が低下した。それ以上にメール(21.4%)やネットワーク経由(6.6%)の被害が増加している」という。
また、セキュリティにまつわる課題を尋ねると、「制御システムセキュリティの知見を持つ実務担当者不足」と回答した企業は50.5%(2022年は18.8%)、「全般的な人的リソース不足」は47.3%(同13.7%)と大きく増加した。同氏は「工場セキュリティは見て見ぬ振り。(業務ではなく)ボランティアで対応している」状況だと現状をつまびらかにしている。
最後のAI関連調査だが、71.4%の企業が「導入計画あり」と回答し、従業員数が増えるほど導入意欲が高まる傾向を浮き彫りにした。他方でAIリスクに対応する組織やルール化が欠かせない。これらの対応状況について「整備済み」と回答した企業は4.3%(n=228、以下同)、「今後整備予定」は19.2%、「検討中」は41%だった。
AIシステムの導入についてもチャットボットによる従業員・顧客への支援機能は「導入済み」が10.9%(n=258、以下同)、「導入予定」は8.1%、「検討中」は26%。データ分析に対するAI活用も「導入済み」は5.4%、「導入予定」は7%、「検討中」は31%。いずれも導入を検討している企業が目立つ。同氏は、「AIによる行動分析やセキュリティ運用の自動化に活用すべきだ。一方で人事面など個人情報が関わる部分のAI活用は皆無に近い」と分析した。
