KPMGコンサルティングは、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した「サイバーセキュリティサーベイ2023」の結果を発表し、2月26日に記者会見を行った。その結果、回答企業の10社に1社が過去1年間にサイバー攻撃による被害を受けたと回答している。調査では「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI導入およびAI導入に係るリスク管理」に関する傾向が明らかになった。
被害額が大幅増加、子会社や委託先経由の攻撃は本社システムへの攻撃の2倍
サイバーインシデントによる被害額が「1億円以上」と回答した企業が、2022年の調査の1.2%から6.7%に増加し、「1,000万円~1億円未満」でも14.9%から23.3%に大幅に増加したことから、被害額の高額化の傾向が明らかになった。また、サイバー攻撃の侵入経路として、子会社や委託先のシステムを経由した攻撃が41.5%を占め、本社のシステムへの直接的な攻撃の約2倍となっており、サプライチェーン全体でのセキュリティ強化が不可欠であることが判明した。
大半の企業がSOC、CSIRTの未設置で改善余地あり、予算や人材も不足
最高情報セキュリティ責任者(CISO)やサイバーセキュリティ責任者を設置している企業は60.9%にとどまり、セキュリティ・オペレーション・センター(SOC)を導入していない企業は55.0%、CSIRT(Computer Security Incident Response Team:セキュリティ事故対応チーム)を設置していない企業は72.7%にのぼった。また、サイバーセキュリティ予算が不足している企業は68.2%、人材が不足している企業は88.8%に達している。
39.1%の企業が、海外子会社のセキュリティ対策の状況を確認していない
海外子会社のセキュリティ対策の取り組みを把握していない企業は39.1%に上り、把握方法として「調査票」を用いる企業が43.4%で最も多かった。一方で、「監査」や「外部のリスク評価サービス」を利用している企業はそれぞれ19.9%と8.0%にとどまった。
43%の企業が「セキュリティ 成熟度レベル1」、プロセスも未整備
「セキュリティ成熟度レベル1:プロセスが未整理で文書化されておらず、活動も整理されていない」にとどまる企業が43.4%を占め、グローバルの16.0%と比べて日本企業の対応の遅れが浮き彫りになった。
71.4%がAIの導入に積極的だが、AIリスク管理の整備企業は4.3%にとどまる
また、AIの導入を計画している企業は71.4%にも関わらず、AIリスク管理を整備済みと回答した企業はわずか4.3%にとどまり、AIリスク管理の整備が遅れている状況がうかがえる。
KPMGコンサルティングのパートナー澤田智輝氏は、「1億円以上の被害を受けた企業が昨年の調査では1.2%だったのが、今年は6%を超えていること」「海外子会社のセキュリティ対策を把握していない企業が39.1%である」という結果に対して衝撃的であると述べた。また最近の傾向として、「EUのサイバーレジリエンス法に関する問い合わせが増えている」と語った。
また、同社のディレクター雪本竜司氏は、「支援をしている企業に話を聞くと、やはり人材の不足や育成が共通の悩み。外部採用が難しい中、内部人材をセキュリティ専門家として育成し、ノウハウを蓄積させていくことが各社の取り組みとなっている」と語った。
