チェンジホールディングスの子会社でサイバーセキュリティ事業を手掛けるサイリーグホールディングスは12月4日、日本の企業と組織におけるサイバーセキュリティの現状と課題に関するアンケート調査の結果を発表し、説明会を開いた。

調査は10月23日から11月1日にかけて実施。企業・組織の経営層516人、およびIT / セキュリティ / リスク管理部門の現場担当者478人の計994人がWebアンケート形式で回答した。

サイバーセキュリティは経営課題に

調査の結果、60%以上の企業がサイバーセキュリティについて組織全体で取り組むべき「重要な経営課題」だと認識していることが明らかになった。しかし、経営層の47%がサイバーセキュリティが経営会議の中で定期的に議題になっていると回答した一方で、48%が「まれに」「ほとんどない」と回答しており、企業による差が見られた。

  • 経営課題としてのサイバーセキュリティ(資料:サイリーグホールディングス)

    経営課題としてのサイバーセキュリティ(資料:サイリーグホールディングス)

現場担当者の49%は「サイバーセキュリティに関する提案や報告が経営層に受け入れられていると感じる」と回答した。また、経営層と現場担当者の57%が「セキュリティに関する情報は共有されている」と回答した。

組織のサイバーセキュリティ対策を強化するために求められる役割として、「セキュリティ意識の醸成」が最も高い結果となった。経営層が現場担当者に期待する役割は「セキュリティ意識の醸成」(44%)が最も高く、「継続的な学習と改善」(35%)が続いた。現場担当者が経営層に期待するサポートは、「セキュリティ意識向上へのけん引とセキュリティ文化の醸成」(34%)、「セキュリティ人材の採用と育成の推進」(33%)が上位に。

  • セキュリティ意識の醸成が求められている(資料:サイリーグホールディングス)

    サイバーセキュリティ意識の醸成が求められている(資料:サイリーグホールディングス)

セキュリティ対策の実情と課題

セキュリティ対策において、専門人材の不足は経営層と現場担当者で共通課題として挙げられた。しかし、セキュリティ予算不足については経営層と現場担当者の間で、認識に差が見られた。

経営層はセキュリティ対策の課題として「セキュリティ人材不足」(44%)を最も多く挙げ、「社内のセキュリティ意識の低さ」(31%)が続いたが、「セキュリティ予算不足」は19%にとどまった。しかし現場担当者は「セキュリティ人材不足」と「セキュリティ予算不足」が共に31%となり、同程度の課題として認識していることがうかがえる。

  • セキュリティ対策の課題は認識の差が見られる(資料:サイリーグホールディングス)

    セキュリティ対策の課題は認識の差が見られる(資料:サイリーグホールディングス)

セキュリティ対策への投資に対して「リターンを得られている」と感じている人は、経営層と現場担当者のいずれも26%だった。経営層および現場担当者の約半数が「リターンは不十分」「リターンがあるとは感じられない」「評価が難しい」「投資効果が実感できていない」と回答した。

セキュリティ人材のスキル不足が課題に

スキルのあるセキュリティ人材を十分に確保できていると感じている企業は、わずか8%だった。経営層と現場担当者の半数近くが「人材不足が深刻」「人材確保が難しく、対応が追い付いていない」「セキュリティに特化した人材は確保していない」と回答。

社内のセキュリティ担当者のスキルについて、「非常に高いスキル」「十分なスキル」があり問題に対応可能だと回答した人は、経営層で22%、現場担当者で28%だった。経営層の31%、現場担当者の25%は、スキル不足により社内での対応が難しいと回答した。

  • セキュリティ人材の確保が困難に(資料:サイリーグホールディングス)

    セキュリティ人材の確保が困難に(資料:サイリーグホールディングス)

インシデント対応に不安

セキュリティインシデントが発生した場合の対応について、経営層の24%、現場担当者の31%が「対応が整備されており、対応可能」と回答。しかし、57%の経営層が「改善が必要」「対応手順が未整備」「対応体制に課題」「対応が困難」と回答した。これらの回答は現場担当者(47%)を上回ったことから、経営層の方が対応体制に不安を感じていることがうかがえる。

  • 約半数がインシデント対応に不安を抱えている(資料:サイリーグホールディングス)

    約半数がインシデント対応に不安を抱えている(資料:サイリーグホールディングス)

インシデント発生時の懸念事項に関して、経営層の46%が懸念事項に「顧客情報や機密データの漏えい」を挙げ、「顧客や取引先との信頼関係は単によるビジネスの中段・業務停止喪失」(33%)、「企業の信用失墜やブランドイメージの損失」(34%)などを上回った。

一方で、現場担当者は「顧客や取引先との信頼関係破綻によるビジネスの中断・業務停止喪失」(42%)が最も多く、「顧客情報や機密データの漏えい」(38%)、「企業の信用失墜やブランドイメージの損失」(34%)が続いた。

セキュリティ運用と意思決定体制の認識に差が

セキュリティ運用の意思決定の主導権について、経営層は51%が「経営層」、22%が「現場」と回答。一方で、現場担当者は40%が「現場」、21%が「経営層」と回答した。意思決定の主導権について認識が分かれる結果となった。

  • セキュリティ運用の主導権については認識にギャップが(資料:サイリーグホールディングス)

    セキュリティ運用の主導権については認識にギャップが(資料:サイリーグホールディングス)

セキュリティ体制の意思決定の最終責任は経営層にあるが、具体的な施策は現場で決められる場面が多い。サイリーグホールディングス取締役の大越いづみ氏は「経営層と現場担当者の間で、役割分担や権限移譲、合意形成のプロセスなどを確認しておくべき」と指摘した。

  • サイリーグホールディングス 取締役 大越いづみ氏

    サイリーグホールディングス 取締役 大越いづみ氏

社内のセキュリティリテラシー向上を目的とする施策については、「セキュリティに関するeラーニング」(経営層31%、現場担当者44%)や、「定期的なセキュリティトレーニング」(経営層29%、現場担当者31%)が多く実施されていることが明らかになった。そうした中で、経営層の19%が「特に施策は行っていない」と回答している。

セキュリティ担当部門が最も優先的にリソースを投資していることとして、経営層の25%、現場担当者の31%が「セキュリティ教育と意識向上」を挙げた。その一方で「インシデント対応体制」への投資は経営層、現場担当者で共にわずか9%。

ランサムウェア攻撃がサイバーリスク脅威として認知拡大

現在の最大のサイバー脅威について、経営層の33%が「ランサムウェア攻撃」を挙げた。続く「内部不正(従業員などからの情報流出)」が16%であり、経営層はランサムウェア攻撃が今年多発した攻撃として認識していることがうかがえる。

対して、現場担当者は24%が「ランサムウェア攻撃」と回答。「内部不正」(15%)、「ソフトウェアやシステムの脆弱性への未対応」(10%)、「DDoS(Distributed Denial of Service:分散型サービス拒否)攻撃」(10%)「サプライチェーン攻撃(子会社・取引先を経由したサイバー攻撃)」(9%)が続き、幅広く脅威を認識している。

  • サイバー脅威に対するリスクの認識(資料:サイリーグホールディングス)

    サイバー脅威に対するリスクの認識(資料:サイリーグホールディングス)

なお、2025年の予測においても、最大のサイバー攻撃は「ランサムウェア攻撃」として挙げられた。経営層では32%、現場担当者では22%だ。

サイリーグホールディングスからの提言

大越氏は調査結果を受けて、「経営層と現場担当者では、課題認識について共通している点も多い。今こそ、双方が共通の言語を使って対話を重ね、自社の課題を共有しながら取るべき対策について合意形成した上で、それぞれの責務と役割の遂行を目指すべき」とコメント。以下のポイントを提言として示した。

・セキュリティ対策を講じてもインシデントの発生を完全に防ぐことは不可能であるという前提に立ち、まずは自社の脆弱性レベルや想定されるリスクを確認する。
・多くの企業がセキュリティの対策体制において外部に部分委託あるいは全部委託している状況であることから、対策の有効性を評価するためには、委託先からの報告だけでなく第三者による評価とその可視化などの追加手段を講じて、経営と現場で共有できるようにする。
・セキュリティ対策として、全社的なセキュリティ意識およびリテラシーの向上やセキュリティ文化醸成について、現場のリーダーシップと経営の強力な関与を相互に期待している。このことから、共同で具体的な施策を策定し遂行することと並行して、インシデント発生後の対応体制の整備にも着手する。
・経営層が果たすべき役割や必要とするサポートをより具体化させるために、現場担当者の主導によって、経営層も参加してセキュリティインシデントの発生を想定した実践的演習を実施し、その振り返りを行う。経営層が最も脅威と考えるランサムウェア攻撃を想定した訓練が有効と考えられる。