2023年、企業に影響を与えるサイバーリスクの「トップ8」

ある報告書によれば、サイバーセキュリティと景気後退には何らかの相関関係があるという。世界的な経済不況が続く中で、2023年に危険とされるサイバーリスクとは。

[Matt Kapko，Cybersecurity Dive]

　経済的な緊張が高まる中、企業組織に影響を与えるサイバーリスクが変化している。

トップ8のリスクはこれ

　米国のシンクタンク、超党派政策センター（Bipartisan Policy Center）は、2023年2月12日に発表した報告書の中で（注1、注2）、8つのサイバーリスクを挙げた。

　これは米国の企業トップや政府の意思決定者にとってのリスクだ。技術的なリスクというよりも組織のトップレベルが考慮しなければならないリスクだ。

（1）地政学的環境の激変
（2）世界経済の不確実性
（3）コーポレートガバナンスの遅れ
（4）脆弱（ぜいじゃく）なインフラ
（5）攻撃と防御の間で加速するサイバー軍拡競争
（6）重複や矛盾がある政府の規制
（7）投資や準備、サイバーレジリエンス（回復力）の不足
（8）希少なサイバー人材

世界経済の不確実性がなぜサイバーリスクにつながるのか

　（2）に挙がった世界経済の不確実性は暗雲のようにあらゆるものを覆い、市場の変動やサイバーセキュリティ分野でのリスクを引き起こしている。

　報告書によれば「サイバーセキュリティは景気後退と無縁ではなく、景気後退時やその後にサイバー攻撃が増加することが調査で示された」という。

　潜在的な景気後退に関連する主なリスク要因として、イノベーションの遅れや長期投資のための不十分な予算が挙がる。

　（3）に挙がったコーポレートガバナンスの遅れは間接的にサイバーリスクを高める。超党派政策センターによると、組織はサイバーセキュリティにおけるコーポレートガバナンスを改善しているものの、速度は遅い。セキュリティの専門家と経営陣との間の情報の流れや意思決定に関する距離、取締役会における技術的専門知識の不足が（注3）リスクをさらに大きくしており、対処が必要だ。

　（4）にある脆弱なインフラとは何だろうか。これは必要なサイバーセキュリティが欠けている可能性のあるサードパーティーやフォースパーティーのベンダーによるリスクだ（注4）。報告書は「脆弱なソフトウェアやOS、その他のインフラはほとんどの場合、重大なセキュリティインシデントやデータ漏えいの要因になる」とまとめた。

　「パッチを適用し、耐用年数の過ぎたソフトウェアやハードウェアを交換することは、あらゆる規模の組織にとって大きな業務負担になる。だが、負担があるからといって必要性を無視した場合、コストや複雑さ、インシデントの可能性は時間の経過とともに増大する」（超党派政策センター）

　今回の報告書は全てのステークホルダーが直面するサイバーセキュリティの中で、トップレベルの意思決定者に影響するリスクを特定するために結成されたワーキンググループの成果をまとめたものだ。ワーキンググループのメンバーは、州政府や連邦政府の現職、または元職員の他、銀行やクラウド、通信、医療、エネルギーなどの各セクターの幹部で構成されている。

　サイバーセキュリティの現場で奮闘する技術者やCISO（最高情報セキュリティ責任者）は、これら8つのリスクに取り組んでいる経営陣に響くようにコミュニケーションを取る必要があるだろう。

出典：Economic volatility to exacerbate cyber risk in 2023（Cybersecurity Dive）

注1：Top Risks in Cybersecurity 2023（PDF）

注2：Top Risks in Cybersecurity 2023（PDF）

注3：Corporate boards struggle to understand cybersecurity and digital transformation（Cybersecurity Dive）

注4：98% of organizations worldwide connected to breached third-party vendors（Cybersecurity Dive）