KPMGコンサルティングとRSA、企業のセキュリティ対策調査結果を発表

KPMGコンサルティングとデル EMCジャパンのRSAは10月3日、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した企業のサイバーセキュリティ対策に関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2019」を発表した。有効回答数は313件。

KPMGコンサルティング KPMGジャパン サイバーセキュリティアドバイザリーグループ リーダー 田口篤氏は、両社が共同で調査を行った経緯について次のよう説明した。

「両社ともにデジタルリスク、サイバーセキュリティを生業としているが、デジタライゼーションの時代において、企業がデジタルを安全に使って、利便性を高めてほしいと考えている。ソリューションを提供することに加えて、もっと役に立てないかと考え、調査結果を提供することにした」

田口氏は、今回発表した調査結果のポイントとして、制御システムのセキュリティの現状をまとめている点を挙げた。「入口はデジタルでも、被害がフィジカルに及ぶケースが増えている。その最たる攻撃対象が制御システムということで、われわれは注力してきた」と、同氏は制御システムの重要性を訴えた。

また、EMCジャパン RSA ゼネラルマネージャー 貴島直也氏は「われわれは、サイバーセキュリティに関わっている企業として、世の中のデジタルトランスフォーメーションをどう支援するかということに力を入れている。企業がセキュリティ関連の施策を講じる際、現状を把握することから始めるが、その時、調査結果が役に立つ。現状を把握してから、実行計画を策定することになり、そのお手伝いができればと思う」と、セキュリティ関連の調査の重要性を語った。

また、「今回の調査結果から感じたことは、セキュリティ診断を受けていない企業が多いことがわかった。セキュリティの健康診断の必要性を訴求することの重要性を実感した」と、貴島氏は語った。

対策が不十分な「制御システムセキュリティ」の実態とは

調査結果は「投資と対策の継続」「インシデント対応態勢(CSIRT)」「制御システムセキュリティ」の3つの課題に分けてまとめられている。ここでは、ポイントをかいつまんでお伝えする。

2019年度のサイバーセキュリティ対策の投資状況としては、2018年度に比べて「横ばい」「増加」と回答した企業が96.4%に上り、全体としては増加傾向にあることがわかった。一方、59.7%の企業が「予算が十分ではない」と回答している。

サイバーセキュリティ対策の実施状況は、ネットワークがエンドポイントなどの入口・出口対策に比べ、クラウドセキュリティなどの新たな領域への対策が進んでいない傾向が明らかになった。

• サイバーセキュリティ対策の実施状況　資料：「サイバーセキュリティサーベイ2019」

今後、積極的に取り組みたいと考えているサイバーセキュリティ領域については、サイバーセキュリティ人材の育成が56.2%と最も多く、企業では最優先課題としてとらえられている結果が出た。また、サイバーセキュリティ対策組織の陣容の規模について聞いたところ、85.6%の企業が「人手不足」と回答している。

• 今後、より積極的に取り組むたいと考えているサイバーセキュリティ対策領域　資料：「サイバーセキュリティサーベイ2019」

加えて、制御システムへの取り組みについては、制御システムを活用した事業に取り組む企業は31.9%あり、その中で海外に工場を持つ企業のうち、統制管理ができていない海外工場を持つ企業は62.5%に達することがわかった。

今回の制御システムに関する調査の注目点として、制御システムのセキュリティを所管する部門が定まっていないという回答が見られたことが紹介された。つまり、制御システムに何らかの問題が生じた時、迅速な対応が期待できないことになる。

さらには、組織全体のサイバーセキュリティ対策の方針は82.4%の企業が整備しているのに対し、制御システムセキュリティ対策の方針を整備している企業は40%にとどまっている。

同調査では、制御システムセキュリティ対策の実施状況についてもまとめているが、各対策について「十分にできている」と回答した企業は15%に達していない。中でも、脆弱性管理、統合ログ管理といった運用面での対策が遅れていることが明らかになっている。

• 制御システムセキュリティの所管部門　資料：「サイバーセキュリティサーベイ2019」

• 制御システムセキュリティ対策の実施状況　資料：「サイバーセキュリティサーベイ2019」