セキュリティ予算の足りていない日本、減額するケースも

　EYアドバイザリー・アンド・コンサルティングのパートナーである藤井仁志氏は、情報セキュリティに関するグローバル調査から「サイバーセキュリティ予算」「新技術の採用に起因する新たなリスクをどう認識するか」「体制とソーシング（調達）戦略」について説明した。


　サイバーセキュリティ予算について、藤井氏は「セキュリティ予算の増額要望」の結果を紹介した。このグラフは、現状からセキュリティ予算をどの程度の割合で増額したいかを示したものであり、割合が低いほど要望額も低く、現状である程度のセキュリティ体制が整っていることになる。

　グローバル、日本ともに「0～25％」の増加を望む回答が最も多いが、15ポイントほどグローバルの方が高い。また、76％以上の大幅な予算増を望んでいる人の割合は日本がグローバルよりはるかに多かった。このように、日本にセキュリティ対策が整っていない企業が多いと藤井氏は指摘。予算の格差はセキュリティ対策の格差であるとした（図1）。


　企業側の予算の見通しについて、今後12カ月でセキュリティ予算を「減額する」という回答は、グローバルでは非常に少ない値だったが、日本では「15～25％減額」との回答が突出して多かった。

　一方、「セキュリティ予算増額のトリガーとなる可能性がかなり低いイベント」、つまりどんな事件があるとセキュリティ予算を上げようと思うかについて、「セキュリティ侵害の発見」が最も低く、組織への影響があるという結果が出た。

　また調査では、サプライヤーや競合他社に対するサイバー攻撃は、セキュリティ予算増額には関係ないという結果を示している。このことから、セキュリティ投資を減らそうとする理由は、「対策しても自社に攻撃や被害がないため」と考えられるとした（図2）。

クラウドやIoTの普及が攻撃ポイントを増やす

　「新技術の採用に起因する新たなリスク」を、どのように認識しているかの設問では、そもそも「サイバー攻撃を行う主体を何と想定しているか」について日本とグローバルで差が見られた。日本では攻撃主体が「悪意を持った従業員」と「単独のハッカー」によるものと認識している人が多い。

　日本は、サイバー攻撃について「内部犯罪」を疑う意識が醸成されていることがわかる。一方、藤井氏は「今やサイバー攻撃のほとんどが組織化されており、ハッカーが個人での犯行は少ないという現状を認識していないのでは」と疑問を投げかけた（図3）。


　「組織に過去12カ月で影響を与えた脆弱性」に関する設問では、クラウドコンピューティングに関する脆弱性について、グローバルと日本で顕著な差が現れた。日本ではまだクラウドの利用が限定的であり、今後は基幹系システムのクラウド移行などが進むとこの値は変化する可能性があるとした。

　これはIoTにおいても同様で、IoTの情報セキュリティの課題では、ほぼすべての項目で日本がグローバルを大きく下回り、脆弱性が現れていない（図4）。


　「体制とソーシング（調達）戦略」について、情報セキュリティに責任を負う役職者が取締役会メンバーである割合は、グローバルでは23.7％であるのに対し、日本は64.0％と高い結果となった。一方、藤井氏は「取締役が情報セキュリティに対する知識を保有しているかどうかは、また別である」と指摘した。

　それが顕著に表れたのは「情報セキュリティ管理が成熟していない項目」についてだ。GISSでは「評価指標と報告」「アーキテクチャ」「戦略」「意識向上」「ガバナンスおよび組織体制」の5つにおいてグローバルの倍以上「成熟していない」という回答が集まった。

　藤井氏は、「セキュリティ運用のさらなる底上げ」と、「インシデント（事故などの危機が発生する可能性のある事態）は起こるものという認識」で備える必要があると強調した。

【次ページ】重大なインシデントが発生しても検知できない可能性