経営層の意識は向上しているが…
EY 新日本有限責任監査法人 Forensics事業部
プリンシパルの杉山一郎氏
GISSは、EYが毎年実施する情報セキュリティに関する調査報告書である。世界60カ国の1400を超える企業・団体が参加し、今年で21年目となる。調査期間は2018年4月から7月で、日本企業・団体の回答比率は4%。
今回の結果について杉山氏は、「調査対象者の87%が『自社が望む水準のサイバーセキュリティ対策を実現する予算と人材が確保できていない』と回答している。これは、セキュリティ対策の『あるべき姿』と『現実』が乖離している証しでもある」と分析した。
サイバーセキュリティを「守りの姿勢」から「デジタルトランスフォーメーションの成長ドライバー」にするためには、「組織の保護」「サイバーセキュリティの最適化」「成長の実現」の3点に注力する必要があると杉山氏は説く。
組織の保護では、ガバナンスの強化、課題解決の優先順位の決定、防御態勢の棚卸し、侵害状況の把握を徹底し、「保護すべき情報を、適切な強度の対策で守る」(杉山氏)ことが重要となる。しかし、調査では77%の組織が、限定的なサイバーセキュリティ対策とレジリエンスしか実施していないことが明らかになった。
サイバーセキュリティの最適化では、「スキルを有する人材の不足」と「現状のセキュリティ対策とニーズのアンマッチ」が問題視されている。特に「スキルを有する人材の不足がセキュリティ対策を阻害している」と回答した組織は、グローバルで30%、日本の組織では37%に上った。
また、セキュリティ対策を内製するのか、外部委託にするのかという点について杉山氏は、「日本は2極化の傾向がある」と指摘する。特に企業のセキュリティを監視するSOC(Security Operation Center)は、自社で運用する企業と、人材不足から外部委託に頼らざるを得ない企業に二分されているという。
成長の実現では、「経営層が自社のセキュリティリスクに対して理解する割合が増加した。一方、セキュリティが事業計画や戦略に与える影響の評価は減少傾向にある」(杉山氏)という。なお、新技術にかかわるリスクについては、「モバイルデバイスは紛失リスクが急増しているものの、IoT(Internet of Things)によるリスクインパクトは増加していない」とのことだ。
