経営幹部が理解していない自社のセキュリティ サイバーレジリエンスに理解なし
サイバーセキュリティを最も重要なリスクとして捉えている経営幹部は48%に上る。だが、自社のセキュリティの状況を理解している幹部はずっと少ない。
サイバーセキュリティの重要性を理解する経営幹部が増えてきた。最も重要なリスクだと考える経営幹部は48%に上る。
自社の弱点を理解していない
だが、この理解は表面的なものだ。なぜなら、自社のサイバーセキュリティに欠陥があるのかどうか調べておらず、実際に攻撃に遭った場合に事業を継続できるような施策を打っていないからだ。
ビジネスコンサルティングなど幅広い事業を展開するPwCが2024年10月初旬に発表した報告書によれば、経営幹部の間でサイバーセキュリティについて意識のすりあわせが不十分だと分かった。CEOなどのビジネス幹部とCISO(最高情報セキュリティ責任者)などの技術幹部の間の不一致だ。
2024年5〜7月に調査した結果をまとめたPwCの報告書「2025 Global Digital Trust Insights」によると(注1)、技術幹部の3分の2以上はサイバーセキュリティを最も重要なリスクとして捉えている。これに対し、同じように考えているビジネス幹部の割合は48%で過半数を下回る。
この調査は、主要な大陸に位置する世界77カ国の4042人のビジネス幹部と技術幹部を対象に実施されたものだ。幹部の4分の1は売上高50億ドル以上の大企業が占めた。アジア太平洋地域の回答者は全体の18%だった。
「CISOが計画に深く関与し、取締役会へ報告し、技術導入を監督している」と回答したのはビジネス幹部のうち40%台の後半だった。さらに、CISOと経営幹部の間では、特にAIや(電力やガス、鉄道、空港などの)重要インフラに関わる規制への企業の対応力に関する意見の相違が見られた。
セキュリティ業界が企業に対してサイバーリスクを中核的なビジネスリスクとして受け入れるよう促している時期に、技術幹部と経営幹部の間に懸念すべき隔たりがあることを本調査は浮き彫りにした。
PwCのCyber&Privacy Innovation Instituteでリーダーを務めるマット・ゴーハム氏は次のように述べた。
「この隔たりは懸念すべきものだ。セキュリティやITの領域を担当する技術幹部は、日々の運用上の困難や潜在的な脆弱(ぜいじゃく)性に敏感だ。だが、これらのリスクを経営チームに効果的に伝えていない、あるいは伝える機会がないことを示している可能性があるからだ」
これは投資をどこに振り分けるかという意思決定にも現れる。調査対象となった技術幹部にとっての投資の最優先事項はクラウドセキュリティであり、次にデータ保護と信頼性が続く。対照的に、ビジネス幹部のほぼ半数はデータ保護をビジネスにおける最優先事項とし、その次に技術の近代化を挙げた。
PwCのレポートにはさらに不都合な真実が
本文で触れた技術幹部とビジネス幹部の意識の差の他にも、PwCのレポートには不都合な真実が描かれている。
第一の不都合な真実は「サイバーレジリエンス対策を実施しているか」という質問に対して、実施していると答えた経営幹部が2%しかいなかったことだ。
これはサイバー攻撃を受けた場合、重要な業務を維持し、ビジネスの中断を最小限に抑えるという意思が薄いことを意味する。ランサムウェア攻撃に対抗するにはサイバーレジリエンスの確立が不可欠にもかかわらず、対策されていない。
第二の不都合な真実はこうだ。経営幹部はサイバーリスクの測定が重要だと認識しているものの、実際に効果的な測定ができていると回答したのは半数以下だった。さらにサイバーリスクの財務的影響を十分深く実施しているという回答は15%しかなかった。
自社のサイバーリスクを測定できていなければ、サイバーセキュリティを強化したり、弱点を補ったりすることが難しくなる。サイバー保険に加入しようとした場合、どの程度の補償を求める契約を結べばよいのかを判断する材料が少なくなってしまう。つまり、投資を誤る可能性が高くなる(キーマンズネット編集部)。
米国証券取引委員会(SEC)が、重要なサイバーインシデントを投資家に開示することを企業に求める規則を採択してから1年以上が経過した。規則では企業はサイバー戦略とリスクについても投資家に開示することが求められている。
過去の調査では、CISOが経営幹部や取締役会に情報を届けやすくなっている一方で、さまざまなステークホルダーがそれぞれ異なる優先事項を持つことが判明した。
サイバーセキュリティ事業を営むTrend Microが2024年5月に発表した報告書によると(注2)、CISOは企業の取締役会から、組織が直面するサイバーリスクの深刻さを軽く見せるよう圧力を感じていると示されている。
出典:CISOs, C-suite remain at odds over corporate cyber resilience(Cybersecurity Dive)
注1:Bridging the gaps to cyber resilience: The C-suite playbook(PwC)
注2:CISOs under pressure from boards to downplay cyber risk: study(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
「従来のバックアップでは守れない」 ランサムウェア対策をバージョンアップしよう
ランサムウェアの脅威が深刻化する中、従来のバックアップ対策では十分な防御ができなくなっている。データ保護戦略と、効果的なバックアップソリューション選定の勘所を探る。ランサムウェアへの考え方をバージョンアップしよう。
なぜ企業はサイバーセキュリティに本気になれないのか? 調査から原因を探る
サイバーセキュリティは必要だ。だが技術的な内容を含むため分かりにくく、自社の問題としてとらえることが難しい場合がある。どうすればよいのだろうか。
CISOが有能かどうか確かめる「5つの質問」
自社の最高情報セキュリティ責任者CISOが有能かどうかを調べるにはどうすればよいのだろうか。