Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

脅威は迫るが予算はない――EY調査で明らかになった「ヒト・カネ不足」の現実

edited by Security Online   2019/02/27 06:00

 EYアドバイザリー・アンド・コンサルティングは2月21日、EYが実施するグローバル規模の情報セキュリティ調査、「EYグローバル情報セキュリティサーベイ(GISS)2018-19」を発表した。説明に登壇したEY Japan Cybersecurity EY 新日本有限責任監査法人 Forensics事業部プリンシパルを務める杉山一郎氏は、「システムの設計段階からセキュリティに取り組む『セキュリティ・バイ・デザイン』が必要であるとの意識は、以前と比較して向上している。しかし、予算・人材不足といった課題は、まったく解消されていない」と指摘した。

経営層の意識は向上しているが…

 EY Japan Cybersecurity EY 新日本有限責任監査法人 Forensics事業部プリンシパルの杉山一郎氏
EY Japan Cybersecurity
EY 新日本有限責任監査法人 Forensics事業部
プリンシパルの杉山一郎氏

 GISSは、EYが毎年実施する情報セキュリティに関する調査報告書である。世界60カ国の1400を超える企業・団体が参加し、今年で21年目となる。調査期間は2018年4月から7月で、日本企業・団体の回答比率は4%。

 今回の結果について杉山氏は、「調査対象者の87%が『自社が望む水準のサイバーセキュリティ対策を実現する予算と人材が確保できていない』と回答している。これは、セキュリティ対策の『あるべき姿』と『現実』が乖離している証しでもある」と分析した。

 サイバーセキュリティを「守りの姿勢」から「デジタルトランスフォーメーションの成長ドライバー」にするためには、「組織の保護」「サイバーセキュリティの最適化」「成長の実現」の3点に注力する必要があると杉山氏は説く。

 組織の保護では、ガバナンスの強化、課題解決の優先順位の決定、防御態勢の棚卸し、侵害状況の把握を徹底し、「保護すべき情報を、適切な強度の対策で守る」(杉山氏)ことが重要となる。しかし、調査では77%の組織が、限定的なサイバーセキュリティ対策とレジリエンスしか実施していないことが明らかになった。

 サイバーセキュリティの最適化では、「スキルを有する人材の不足」と「現状のセキュリティ対策とニーズのアンマッチ」が問題視されている。特に「スキルを有する人材の不足がセキュリティ対策を阻害している」と回答した組織は、グローバルで30%、日本の組織では37%に上った。

 また、セキュリティ対策を内製するのか、外部委託にするのかという点について杉山氏は、「日本は2極化の傾向がある」と指摘する。特に企業のセキュリティを監視するSOC(Security Operation Center)は、自社で運用する企業と、人材不足から外部委託に頼らざるを得ない企業に二分されているという。

 成長の実現では、「経営層が自社のセキュリティリスクに対して理解する割合が増加した。一方、セキュリティが事業計画や戦略に与える影響の評価は減少傾向にある」(杉山氏)という。なお、新技術にかかわるリスクについては、「モバイルデバイスは紛失リスクが急増しているものの、IoT(Internet of Things)によるリスクインパクトは増加していない」とのことだ。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5