高いセキュリティを実現するには責任の分散が重要なワケ

高いレベルのセキュリティ基準を満たしている企業は大企業でさえ2割ほどだという。Deloitteはセキュリティの高い企業の特徴を解説した。

[Matt Kapko，Cybersecurity Dive]

　世界四大会計事務所の一つであるDeloitte（デロイト）によれば、高いレベルのセキュリティ基準を満たしている企業はほとんど存在しない。大企業でさえ基準を満たす企業は2割ほどだという。

　サイバーセキュリティの成熟度が高いかどうかの違いは、「計画」「活動」「取締役会の関与」という3つに起因するというが、どういうことか。

責任の分散がセキュリティには重要？

　先進的で高い業績を上げている企業は、サイバー攻撃への防衛と対応を計画し、リスクを積極的に評価し、業界のベンチマークを満たして、取締役会でサイバー関連の問題を定期的に取り上げている。

　Deloitteのデボラ・ゴールデン氏（米国サイバー・戦略リスクリーダー）は「サイバー攻撃を完全に免れる企業は存在しない。しかし、レジリエンスを組み込み、サイバー成熟度の高い企業は、動的なセキュリティ状況に適応して方向転換できるため、侵害後の迅速な回復が可能だ」と電子メールで述べた。

　Deloitteの調査、「Global Future of Cyber Survey」で評価した1110社の大企業のうち、同社が設定したサイバー成熟度の基準をほとんどまたは全て満たしているのは、わずか5社に1社だった（注1）。残りの80％は、サイバー成熟度の等級が「中」と「低」の企業がほぼ半々に分かれている。

　「3つのセグメント（低、中、高）は全て、業界や企業規模、収益に関係していないため、成熟度のレベルは企業の業界や規模に依存しない可能性がある」と報告書には記載される。

　Deloitteの調査結果は、取締役以上のサイバーセキュリティの意思決定者を対象とした調査に基づいている。回答者は、従業員数1000人以上、年間売上高5億ドル以上の20カ国の企業を代表している。

　Deloitteによると、CISO（最高情報セキュリティ責任者）はサイバーセキュリティを成熟するために重要な役割を果たす。しかし、最も成熟した企業の多くは、企業全体の取り組みを通じて、計画、活動、取締役会の関与の基準を満たすという。

　ゴールデン氏は「サイバーセキュリティを企業全体の問題として捉えることが重要だ。取り組みを統一することで、複雑な脅威環境の中で自信を持って活動できる、より良い体制を整えられる」と言う。

　高成熟度の企業は、管理組織の設置や全社または取締役会レベルのインシデント対応シミュレーション、年1回のサイバー意識向上トレーニング、取締役会への定期的な最新情報の提供による資金確保など、企業全体に責任を分散している。

　Deloitteによると、テクノロジーやメディア、通信、政府、エネルギー、資源、工業分野の企業は、全体平均よりも多くのサイバー活動を実施している。一方、金融サービスやライフサイエンス、ヘルスケア、エネルギー、資源、工業分野の企業は、サイバー計画戦略で先行している。

　取り組みの中には、比較的低いコストでセキュリティに高い効果をもたらすものがある。これには、サイバーセキュリティ・インフラストラクチャセキュリティ庁が2022年10月にまとめた「サイバーセキュリティ性能に関する37の最低目標」（37 minimum cybersecurity performance goals）の40％以上が含まれる。

　より高い成熟度を満たす企業は、より高い回復力やリスクの防止、検出などサイバーセキュリティに通常関連する利点を認識しているだけではない。新しいことに挑戦する自信、信頼、効率への好影響を報告している。

　その他、サイバーイニシアチブから得られる効果として、ブランドの向上や経営の安定、顧客の信頼、長期的な持続可能性、人材確保、収益の増加などが一般的に挙げられている。Deloitteによると、最も高い業績を上げている企業は、あらゆる戦略の指標において、その後の価値をより多く得ている。

出典：What does it take to be good at cybersecurity?（Cybersecurity Dive）

注1：2023 Global Future of Cyber Survey

注2：Explore CISA’s 37 steps to minimum cybersecurity