インシデントの最大の要因は、現行の従業員と退職者
プライスウォーターハウスクーパース(PwC)は11月5日、「グローバル情報セキュリティ調査2015(日本版)」を発表した。PwCが米メディア「CIO Magazine」「CSO Magazine」と共同で実施している調査で今回で17回目。今回から、グローバル平均と日本の比較結果はじめて発表した。
調査は、グローバルで9700人以上のCEO、CFO、CIOなどのいわゆるCクラスの役員を対象として、2014年3月27〜5月25日に、世界154ヵ国(北米35%、欧州34%、アジア14%、南米13%、中東・南アフリカ4%)で実施。日本からは219人が回答した。
発表にあたり開催されたメディアセミナーでは、まず、パートナー / サイバーセキュリティセンター長の松崎真樹氏が「情報セキュリティのなかでも、サイバーセキュリティが脅威になっており、対策の必要性が高まっている。当社でもサイバーを強く意識したサービスを提供するようになった」と、近年の情報セキュリティのあり方の変化を指摘した。
実際の調査結果でも、そうした変化に気づいているか、ちきんと対応しようとしているかで、グローバルと日本で格差が見られたという。ディレクター/PwCサイバーセキュリティCoE イーストクラスター代表(セキュリティ戦略担当)の山本直樹氏によると、こうした格差は、インシデントの発生原因や、セキュリティ予算の額、役員クラスのセキュリティリーダー設置率などに顕著に現れた。
具体的には、インシデントの発生原因を聞いたところ「わからない」という回答が、グローバルでは18%だったのに対し、日本では43%だった。また、予算については、グローバルが年間平均4.2億円だったのに対し、日本は年間平均2.1億円と約2倍の差があった。セキュリティリーダー設置率については、「リーダーがいる」との回答がグローバル平均の64%に対し41%と低い一方、「リーダーがいない」という回答は44%で割合としてより多く占める結果になった。
「どういった対策を講じるかという以前に、そもそも発生原因を特定できていない。ステークホルダーや社会への説明責任を考えると由々しき事態と言える。予算やリーダーについては、セキュリティをITの問題と捉えるか、経営の問題と捉えるかの違いで大きな差がでた」(山本氏)
セミナーで山本氏はまず、グローバル調査結果のサマリーを説明。その後、日本企業に特徴的な傾向を解説していった。まず、グローバル調査の結果としては、セキュリティインシデントの件数が前年比32%増の4948件、被害額は同34%増の2.7億円と過去最高になったこと、大企業の被害額が相対的に増えたこと、予算額が昨年の標的型攻撃対策製品の導入急増の反動で4%減少したこと、インシデントの要因として内部犯行が多かったことなどを説明した。
「インシデントの要因として、現行の従業員と回答した割合は35%で、退職者と回答した割合は30%だった。ハッカーによる攻撃の24%を大きく上回っている。内部犯行によって重要情報が漏れているのが実態だ。抑止・検知に取り組む必要がある。従業員のセキュリティ教育を行うか行わないかで、被害額に4倍の差がつくという調査結果もある」(同氏)
