KPMGコンサルティングは2月26日、「サイバーセキュリティサーベイ2023」を発表した。

同サーベイは、国内上場企業や売上400億円以上の未上場企業のうち回答があった258社のサイバーセキュリティ責任者を対象に分析したもの。昨今、テレワークの導入などによる働き方の多様化、サイバー空間とフィジカル空間の緊密性の高まりといった環境変化を背景に、サイバー攻撃はより高度に、巧妙に、広範囲になってきている。これを踏まえ、6回目となる今回のサーベイでは「海外子会社管理」と、「AIの導入に係るリスク管理」という2つの項目が新たに追加されている。

  • サイバーセキュリティサーベイ2023の調査概要

同日開催された記者発表会では、サーベイの要点および5つのテーマについて解説がなされた。

サーベイの要点は5つ

冒頭、KPMGコンサルティング Technology Risk Services執行役員パートナーの澤田智輝氏は、同社のサーベイの特徴について「ガバナンス体制から具体的な対策まで幅広く聞いていること」だと述べた。今回の結果からは、以下の5点が明らかになったという。

・サイバー攻撃の被害金額が高額化 ・サイバーセキュリティ人材の不足 ・海外子会社のセキュリティ対策状況の把握が進んでいない ・制御システムセキュリティに関して、グローバルと比較し、日本が大幅に遅れている ・AI導入には積極的だが、リスク管理の整備は進んでいない

増える攻撃にセキュリティの意識は高まっているものの、課題も

続いて、KPMGコンサルティング Technology Risk Servicesディレクターの雪本竜司氏がサーベイ結果の詳細について、5つのテーマに分けて解説した。

サイバー攻撃の実態

今回のサーベイでは、サイバーインシデントによる被害額が1000万円以上だったと回答した企業が約30%あった。1億円以上の被害額だったと回答した企業については前年のサーベイでは1.2%であったものが、今年は6.7%と大幅に増加しており、被害額の高額化が見て取れる。また、子会社や委託先のシステムを経由した攻撃が41.5%を占めており、本社への直接的な攻撃の約2倍であることも明らかになったという。

セキュリティ管理体制と対策

では、そうした攻撃に対抗するサイバーセキュリティの状況はどうかと言うと、予算、人材とも不足している点は、前年のサーベイ結果と同様である。特に人材面では9割近い企業が不足を認識していることが分かっている。

雪本氏も企業から「いかにノウハウを蓄積し、内部で人材を育成していくのかを考えている」という話をよく聞くそうだ。組織面では、CISO、CSIRTの設置が進んでいるものの、多くの企業では境界防御を導入しており、「UEBA(User and Entity Behavior Analytics)やSOAR(Security Orchestration, Automation and Response)といった新しい領域の対策はまだまだ浸透していない」(雪本氏)そうだ。

海外子会社管理

今回から新たな調査項目に入った海外子会社管理の現状について雪本氏は、「基本的には各社に委ねており必要に応じて報告・相談を受けている」という回答が34.0%、「子会社の情報セキュリティ状況を把握していない」という回答が23.5%にのぼるという数字を提示し、本社側から積極的に関与していない姿勢が見えると指摘した。インシデントが発生した際の再発防止策についても、45.4%が「横展開していない」と答えている。

「グループ会社も、大きな意味では1つの会社です。他の会社で起きたことを横展開しておけば、自社のインシデントが未然に防げた可能性もあります」(雪本氏)

制御システムセキュリティ

KPMGコンサルティングでは、制御システムセキュリティの成熟度をレベル1の「サイバーセキュリティのプロセスは未整理で文書化されておらず、活動も整理されていない」からレベル5の「既存のプロセスからのフィードバックにより継続的に改善され、組織のニーズにより適切に対応している」まで5段階に分類している。今回のサーベイでは自社を成熟度レベル1であると回答した企業が約43.3%だった。特に従業員数が少ない企業ほど成熟度レベルが低いといい、その要因には知見のある実務担当者などの人的リソース不足があるとした。

一方で雪本氏は「良い傾向として、制御システムにもリソースを割かなければいけないという認識が広まったとも言えるのではないか」と話した。

  • 制御システムのセキュリティ成熟度

AI導入とリスク管理

昨今話題に上ることの多いAIについては、71.4%の企業がAI導入を計画しており、1万人以上の従業員を有する大企業ではほぼ100%が「導入計画がある」と回答した。これについて雪本氏は「大小に関わらず導入に積極的であり、人材不足解消の1つの手段と考えているのではないか」と説明する。

その一方で、AIリスク管理の整備をしている企業は4.3%と少ない。今後整備の必要性を検討している企業が41%であることから「導入と並行し、体制づくりを進める企業が多いのでは」と続けた。

KPMGコンサルティングは今後も、日本企業のサイバーセキュリティに対する動向を注視していくという。