KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表
- 2022/01/25 10:00
- SecurityInsight
KPMGコンサルティングは1月19日、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2022」を発表した。この調査は、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した。調査結果の概要は以下のとおり。
■「サイバーセキュリティ」に関する主な調査結果
回答企業の30.5%が「過去1年間にサイバー攻撃あるいは不正な侵入を受けたことがある」と回答しており、前回調査(2019年)の21.1%から大幅に増加した。その一方で、65.6%の企業が「サイバーセキュリティ対策への予算が不足している」、79.0%が「情報セキュリティ人材が不足している」と回答している。
回答企業の57.9%がサイバーセキュリティ対策の現状分析および対応計画を策定しておらず、60.7%がセキュリティ監査を定期的に実施していないと回答。また、52.7%の企業が業務委託先へのセキュリティ対策の要請を未実施または未把握だった。
「高度なエンドポイントセキュリティ対策」においては、55.1%の企業が「既に導入済み」と回答し、「積極的に導入を検討する」との回答が35.4%にのぼっている。「クラウドセキュリティ対策」では26.7%の企業が「既に導入済み」と回答し、「積極的に導入を検討する」との回答が35.1%になっている。
回答企業の45.6%がセキュリティオペレーションセンター(SOC)を導入している一方で、SOCによる監視が「不審なウェブサイトへのアクセス・閲覧」や「インターネットからの攻撃性の高いアクセス」「DoS/DDoS攻撃」といった従前からよく見られる監視対象にとどまっており、クラウドサービスに対する監視は少数にとどまっている。
回答企業の34.4%が、CSIRTを自社内に設置していると回答しており、さらに47.4%がインシデント発生時の初動対応手順を準備している。一方で、セキュリティ運用を自動化するSOAR(Security Orchestration, Automation and Response)の導入率は低かった。
42.5%の回答企業はセキュリティインシデント発生後の復旧手順を準備しており、32.6%がメディアへの連絡や広報の手順を整えている。復旧対応については、51.7%が1週間程度で対応が完了しているが、数日間遮断した場合の業務継続の対応をあらかじめ定めている企業は23%にとどまっている。
■「制御システムセキュリティ」に関する主な調査結果
回答企業の約3割が、何らかの形で工場やプラントにおける制御システムに関する事業に取り組んでいるなかで、まだ47.6%が制御システムセキュリティに関わる対策方針が整備できていない。前回調査(2019年)の60.0%と比べると改善傾向にありますが、さらなる取組み強化が求められる。