PwC Japanグループ、「グローバル情報セキュリティ調査2018(日本版)」を発表
- 2018/06/19 10:30
- SecurityInsight
PwCコンサルティング、PwCサイバーサービス、PwCあらた有限責任監査法人は6月15日、「グローバル情報セキュリティ調査2018(日本版)」の結果を発表した。この調査は、PwCがCIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査となっている。
「グローバル情報セキュリティ調査2018(日本版)」の主な調査結果は以下のようになっている。
■グローバル全体での傾向
・サイバー社会の相互依存性によるリスクの高まり
サイバーセキュリティ戦略の見直し頻度が特に高い国は日本(72% グローバル56%)であることが分かった。
・経営陣のサイバーリスクへの備えに対する責任
大半の企業の取締役会が自社のセキュリティ戦略や投資計画に積極的に関与していない実態が浮かび上がった。取締役会が包括的なセキュリティ戦略に積極的に参加しているという回答は44%に過ぎず、いまだセキュリティをITの問題と捉えていることが分かる。
・経営陣がとるべき次のステップ
経営陣は自ら先頭に立ち、セキュリティ戦略へ積極的にかかわり、リスク回避の域にとどまらず、利益を得る手段としてレジリエンスを追求していくことが必要となる。例えば日本では、2011年の東日本大震災が起こる前に事業継続計画(BCP)を作成していた企業は、災害後、競合他社よりも早く業務を再開でき、市場シェアを伸ばしたことが分かっている。世界各国の政府は、主要業界のレジリエンス強化のために有用なプラクティスやテクノロジーを開発し、長期的な利益を得ている。
■世界全体と日本企業の調査結果の比較
・日本企業はサプライチェーンへのセキュリティ基準の定着を重視
直近の重要なサイバー対策として、「サプライチェーンへのセキュリティ基準の定着」を重視する日本企業が多いことが分かった(日本60% グローバル49%)。
・サイバーセキュリティ対策に自信のない日本企業
サイバーセキュリティ対策への自信について調査したところ、「自信がある」と回答した企業は、グローバル74%に対し、日本企業は38%にとどまった。しかし、日本企業がグローバルに比して大きく遅れているわけではなく、サイバーセキュリティ戦略の定期的な見直しや従業員の教育など、積極的に進めている施策もあることが分かっている。
■調査結果に基づいた日本企業への示唆
・自然災害へのBCPをサイバー攻撃へのBCPへ転用する
自然災害の多い日本では、以前から多くの企業がBCP(事業継続計画)を策定し、運用してきた。自然災害へのBCPとサイバー攻撃へのBCPは共通点も多く、これまでのノウハウを有効活用できると考えられる。自然災害へのBCPをサイバー攻撃へも拡張し、障害が発生した場合においても、事業を継続することができるようにしておくことが必要と考えられる。
・経営陣が正しく理解できる報告
セキュリティ投資に関する報告は、サイバーセキュリティの技術用語を多用するのではなく、経営陣が常日頃より接している指標や用語を用いて行なうことが効果的。大多数の経営陣は、どの程度損失・復旧コストが生じたのか、株価がどの程度影響を受けたのかなどを気にかけている。経営陣が実感として理解できる報告を行なうことが必要。