KPMGコンサルティングは、サイバーセキュリティとプライバシー保護がステークホルダーとの信頼の構築と維持に果たす役割について調査した結果をまとめ、「KPMGサイバートラストインサイト2022」(日本語版)として発表した。
同レポートでは、KPMGが日本を含む世界各国の企業の経営者など約1,900人の上級管理職を対象に実施した調査をもとに、「信頼性の向上が企業活動にもたらす効果」「デジタルトラスト(デジタル技術の活用への信頼)の動向」「信頼の構築において最高情報セキュリティ責任者(CISO)が果たす役割」などについてまとめているという。
また、KPMGコンサルティングが日本とグローバルの調査結果を比較した日本企業の特徴もあわせて解説している。
主な調査結果
デジタルの進化
企業におけるDXが本格化するなか、ステークホルダーとの「信頼」はかつてないほど重要になっており、その影響を受けるのは組織の評判のみにとどまらないという。今回の調査でも、回答者の多くが信頼性の向上による主なメリットとして、「収益性の向上」(37%)、「顧客維持率(カスタマーリテンション)の向上」(36%)、「取引先との関係性の強化」(34%)を上位に挙げている。
企業がDXを推進する過程でサイバーセキュリティとプライバシー保護への投資は戦略的イニシアティブの達成に不可欠なものとみなされるなか、80%以上の回答者が「サイバーセキュリティとデータ保護の改善が重要」と認識し、51%が「サイバー攻撃からIT資産を保護することが大切」だとしている。
デジタルトラストの動向
産業界でAI(人工知能)やML(機械学習)の利用が進むにつれ、信頼に関する新たな課題が生じているとのこと。これらの技術は取扱いを間違うと、サイバーセキュリティやプライバシーのリスクを高め、風評被害や規制当局の制裁を受ける可能性があるという。
組織はこういったリスクを認識し始めており、78%の回答者が「AIとMLが特別な注意を必要とするサイバーセキュリティの課題をもたらす」と捉えているとした。「これらのテクノロジーを導入する際には解決すべき基本的な倫理課題がある」とも考えており、課題への対応について、組織は一段とオープンに開示していく必要があると答えている。
信頼できるコミュニティの構築
エコシステム全体への信頼確立を目指す必要があり、回答者の79%が「効果的なサイバーセキュリティにはサプライヤーの建設的な関与が不可欠」と述べている。ただ「その実現に向けて実際に協力している」と答えた回答者はわずか42%で、こうした消極的な姿勢は重大な弊害をもたらす可能性があるとのこと。60%の回答者が「サプライチェーンの脆弱性によって攻撃される可能性がある」と答えているという。
CISOの進化
CISOの役割はデジタル変革、サイバー犯罪の増加、規制の厳格化などを背景に、過去5年間で急速に拡大。CISOは「革新と成長にブレーキをかける存在」と見られがちだが、今や成功要因として重要な役割を果たす立場にあるという。一方で、CISOと取締役会の関係について、回答者の2人に1人が高い信頼で成り立っているか、疑問に感じており、回答者の3人に1人が「取締役会はCISOを重要な幹部とみなしていない」と答えている。
日本の特徴
日本でも、サイバーセキュリティは重大な問題と捉えられており、他国と同様、セキュリティと真剣に向き合う傾向が顕著に現れている。日本はグローバルに比べ、組織におけるCISOの影響力が限られている点や、サイバーセキュリティ強化のための社外(パートナー企業、政府、NGOなど)との連携が十分ではない点がみられるという。
グローバル全体と比較して、日本の取り組みが進んでいた点は「リスクモデリングによるサイバーリスクの定量化と取締役会への視覚的な報告」で、グローバル全体よりも10ポイント以上高い結果となった。
![リスクモデリングによってサイバーリスクを定量化し、取締役会にリスクを視覚的に報告していますか<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/17682/17682_01.png)
[画像クリックで拡大表示]
一方、課題も多く、特に以下の項目で日本企業の取り組みの遅れが目立っているという。
CISOの影響力の向上
日本では、「取締役会はCISOを重要な幹部とみなしていない」「CISOは十分な影響力を持っていない」との回答が高い傾向にあった。
![取締役会とCISOに関連する日本とグローバル全体の比較<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/17682/17682_02.png)
[画像クリックで拡大表示]
社内外でのセキュリティ連携強化
日本では、「サイバーセキュリティに関する教育・啓発の推進」「サイバーインシデント発生時のステークホルダー・広報対応」において、力が発揮できていない傾向にあるという。
![自組織のCISO/セキュリティチームは以下の領域で力を発揮することができていますか<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/17682/17682_03.png)
[画像クリックで拡大表示]
サイバーセキュリティコミュニティの構築
日本では、社外との連携が弱い傾向にあるとのこと。サプライチェーン攻撃への対応強化としてパートナー企業との連携の強化、また、情報共有先として政府、NGO、国際機関などとのコミュニティ構築が求められるとしている。
![サイバーセキュリティ強化のために、次のうちどの組織と協力/情報交換をしていますか<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/17682/17682_04.png)
[画像クリックで拡大表示]
【関連記事】
・KPMGコンサルティング、データマネジメント態勢を可視化しロードマップ策定を支援するサービス開始
・セキュリティ担当者が提起すべき8つの主要課題 KPMGコンサルティングがレポートを公開
・KPMGコンサルティング、企業のデジタル人材育成を支援 オーダーメイドで提供
