セキュリティ対策はCISOの仕事、その考えが間違っている理由

サイバーセキュリティ対策を企業が優先しているにもかかわらず、脅威が増えると経営陣は考えている。どうすれば対応できるのだろうか。

[David Jones，Cybersecurity Dive]

　コンサルティング企業のPwCによると、世界中の企業はサイバーセキュリティ対策を優先している。しかし、同社の調査によれば、経営陣の多くは脅威が増大すると予想している。

　サイバー攻撃に「弱い企業」と「強い企業」の違いは何だろうか。

増え続ける脅威に対抗する方法はこれだ

　同社の調査「2023 Global Digital Trust Insights」（注1）によれば経営者の約3分の2は、サイバー攻撃を自社に対する主要な脅威と見なしている。さらにサイバーセキュリティ担当役員とIT担当役員の約半数が、2023年にはランサムウェア攻撃がさらに増加し、5人に2人はクラウドへの攻撃がより深刻になると予想している。

　半数以上のCRO（最高リスク管理責任者）やCOO（最高執行責任者）は、自社がサプライチェーン攻撃に耐えられるかどうか、「非常に懸念している」または「極めて懸念している」ことが明らかになった。

　「潜在的なサイバー脅威の広がりや実際の攻撃が増加するにつれ、経営陣は自社のビジネスに対する潜在的なリスクについてより強く認識するようになってきた」（PwCのCyber＆Privacy Innovation Institute リーダーのマット・ゴーラム氏）

　「PwCによる企業のリスク管理を扱う調査では、40％の企業幹部がサイバーセキュリティを企業が直面する最大のリスクと見なしている（注2）ことが明らかになった」（ゴーラム氏）

サイバー攻撃への対策として重要なのは「協力」と「チームプレー」

　PwCの調査では、経営陣の70％が過去1年間に自社のサイバーセキュリティ対策が改善していると感じている。これは主に、サイバーセキュリティ関連の投資と経営陣内部の協力が密になったことによるという。

　「サイバーセキュリティ対策と回復力（レジリエンス）には、CISO（最高情報セキュリティ責任者）だけでなく、より広範な人材が必要だと先進的な企業は認識しており、サイバーセキュリティをチームスポーツとして捉えている」（ゴーラム氏）

　「多くのCISOやCFO（最高財務責任者）は、サイバー攻撃対策への投資方法を変え、データを活用して、ビジネスゴールとトップリスクを念頭に置いた資金調達の意思決定を下すようになっている」（ゴーラム氏）

　PwCの調査は世界各国のビジネス分野やテクノロジー分野、サイバーセキュリティ分野の幹部3522人を対象とした。2022年7〜8月に調査を実施し、CEOやCFO、CISO、CIO（最高情報責任者）、その他の取締役から回答を得た。

出典：C-suite, boards are prioritizing cybersecurity, but still expect increased threats（Cybersecurity Dive）

注1：A C-suite united on cyber-ready futures

注2：Risk of cyberattack emerges as top concern of US executives（Cybersecurity Dive）