65%が内部犯行! PwC、グローバル情報セキュリティ調査結果を発表

プライスウォーターハウスクーパースは11月5日、「グローバル情報セキュリティ調査2015(日本語版)」の結果を発表した。国内企業におけるセキュリティの平均投資額がグローバルの約半分であること、国内企業は情報セキュリティを扱う役員クラスのリーダーが不在である割合が高いことなどが紹介された。

グローバルは「被害拡大、予算減」 - 新たな対策を模索段階

今回の調査は、PwC、CIO Magazine、CSO Magazineが共同で実施。今年3月27日から5月25日にかけて行われ、154カ国で9700人以上が回答している。調査は毎年実施しており、今回が17回目になる。

発表によると、グローバルにおけるセキュリティインシデントは、件数が32%増の4948件、被害額が34%増の2.7億円だった。一方で、年間平均セキュリティ投資額は前年比4%減の4.2億円。減少した理由としては、2013年に標的型攻撃対策への需要の高まりから前年比1.5倍の急成長を遂げた影響が大きいという。

「業種別の投資額を見ると、航空宇宙/防衛業界が25%減、テクノロジーが21%減、自動車が16%減、小売/消費財が15%減。セキュリティへの取り組みが早かった業界において、新たな効果を見込める対策を見出せていない状況にある」(プライスウォーターハウスクーパー ディレクター/PwCサイバーセキュリティCoEイーストクラスター代表の山本直樹氏)

セキュリティインシデント発生の要因に関しては、現行の従業員による漏洩が35%、退職者による漏洩が30%を占めており、全体の65%が内部犯行によるものとなっている。山本氏は、こうした問題への対策として、「新人向けのセキュリティ教育プログラムがある会社とない会社では、インシデントの発生確率に4倍の開きがある。フィッシングメールなどを安易に開かない組織を作ると同時に、悪意を持って情報を漏らそうする者を牽制する仕組みが重要」とコメントした。

国内の平均予算はグローバルの半分、担当役員の設置を推奨

今回の調査には、日本企業からも役員クラスのキーマン219人が回答している。

その調査結果をグローバルと比較した山本氏は、日本企業のセキュリティ平均投資額が2.1億円と約半分であることを紹介。さらにグローバルでは、64%の企業でセキュリティに積極的なリーダーとなる役員がいるのに対して、日本企業ではこの割合が41%と大きく減るという。

こうした結果について山本氏は、「現在の情報セキュリティは、IT部門の課題ではなく、経営リスクと捉えるべき。CEOに直接提言する立場にあり、部門間の利害関係も調整できる役員クラスのリーダーを担当として置く必要がある。さらには、社外から最新の情報を入手できる人脈/情報網を持っていることが望ましい」と提言し、国内企業の経営層における意識改革の必要性を訴えた。

「内部関係者」の定義を見直すべき

調査の結果を踏まえ、もう1つ強調されたのが内部犯行への対策である。

調査によると、インシデントの発生原因が「わからない」と回答した企業の割合は、国内で43%に上るのに対して、海外では18%にとどまっている。そのうえで山本氏は、昨今続いている大規模情報漏洩事件を踏まえ、「"わからない"の43%の中には、内部犯行の割合が高いと推測できる」とし、特に退職者や委託業者、契約の切れた委託業者が関与しているケースが多いだろうとの見方を示した。

「日本において"内部関係者"への対策を考える場合、現職の従業員だけを対象としている企業がほとんど。しかし、実際に犯行に及ぶのは、組織への忠誠心が低い退職者や委託業者であることが多い。今後は、委託業者も考慮に入れ、在職中/契約中はもちろん、退職後/契約終了後にも対応できる環境を作ることが求められる」(山本氏)