組織が複雑すぎてセキュリティを担保しにくくなっていないか

75%の人が自分の所属する組織が複雑すぎると回答しています。しかし、過去2年間にサイバーセキュリティで最も優れた成果を上げた企業は、全社的に業務を合理化している割合がそうではない企業と比べて5倍高くなっています。

「シンプルであること」と「スリム化」について慎重に検討する

過度に複雑な組織では、他者の行動を把握していないことが多く、サイバーセキュリティやプライバシーへ深刻な影響を与える可能性があります。今回の調査では、CISOを含む経営層の75%が、自社の組織は過度に複雑である、現状のように複雑にする必要がないと述べています。また、ほぼ同数が、複雑さにより11の主要分野で「懸念すべき」サイバーリスクとプライバシーリスクが生じていると述べています。

特に大企業(売上高10億ドル以上)では、データが最大の懸念事項となっているようです。データガバナンス(77%)とデータインフラ(77%)は、「不必要かつ回避可能な」複雑さを持つ分野として上位にランクインしています。

また、テクノロジーネットワークやデバイスも、特に大企業や北米の企業では非常に複雑です。デジタルネイティブな企業(完全にオンラインで存在する企業)は互いに連携して操作できるように設計された最新のテクノロジーを使用している傾向にあります。他の多くの企業のテクノロジーアーキテクチャはレガシーシステムを含み、より複雑です。他の企業との合併は、既に複雑なネットワークやシステムを接続することにより、リスクを増大させる懸念があります。

このような複雑さを最も懸念しているのはCEOたちです。彼らは組織内の11の分野のうち、7つの分野で複雑さのレベルを10と評価しています。CEOは、クラウド環境の複雑さ、技術投資のガバナンス、ITからOTへのクロスオーバーに起因するサイバーリスクやプライバシーリスクをより強く懸念する傾向にあります。

大企業や北米の経営層は、クラウド環境の複雑さやITからOTへのクロスオーバーに起因するリスクを懸念する傾向がさらに顕著です。

経営層の75%が、組織が複雑であり、複雑さが「懸念すべき」サイバーリスクとプライバシーリスクにつながっていると回答している
Q. 社内において、以下の業務は、1から10の尺度で評価するとどのくらい複雑だと思いますか。社内において、これらの分野の複雑さがもたらすサイバーリスクとプライバシーリスクはどの程度重大ですか。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

先進的な取り組みを行っている企業はサイバーセキュリティ領域において、その他企業に比べて2倍以上の進展を見て取ることができた。

複雑さのコスト

組織の複雑さ自体は悪いものではありません。多くの場合、それはビジネスの成長に伴う副産物です。組織が大きくなればなるほど自然と複雑さは増し、拡大する顧客基盤に対応するため、より多くの人材とテクノロジーが必要になります。

また、不必要な複雑さが生み出すコストは明白なものではないため、実際に攻撃が発生しない間は危機感を持ち、複雑さに対処することは困難です。

ある企業では、取引を終了した顧客の機密データを必要以上の期間保管していたため、ハッカーによりデータを盗まれたという事例があります。

PwCの「Simplifying cyber」では、スリム化することでセキュリティを向上させる方法の例を紹介しています。あるグローバルの小売企業では、6社のベンダーが顧客の連絡先を管理していましたが、そのうち2つのシステムが、過去にサイバー攻撃を受けていました。そのため、新任の業務責任者はCEOや取締役会と協議を行った後、ベンダーを2社にまで絞り込みました。このスリム化によりベンダーの監視や情報へのアクセス制御、顧客データのバックアップが容易になり、セキュリティが向上しました。

業務運用の複雑さがもたらす最大の影響として回答者は以下のような項目を挙げています。

  1. データ漏洩やサイバー攻撃による経済的損失
  2. 市場機会に伴う迅速なイノベーションの阻害
  3. サイバー攻撃やテクノロジー障害からの復旧能力、業務運用レジリエンスの欠如

経営層は、複雑さは現在の財産を脅かすだけではなく、企業が新たな機会を迅速に創出や、将来の機会の追求の妨げにもなると考えています。

あらゆる業界において、複雑さがもたらす最大の影響は、経済的損失、イノベーションの阻害、レジリエンスの欠如となっている。
Q. 複雑さがビジネスに与える最も重要な影響は何だと思いますか。
回答者:製造業=789名、テクノロジー・エンターテインメント&メディア・通信=824名、金融サービス=724名、小売・消費材=581名、エネルギー・ユーティリティ・資源=299名、ヘルスケア=255名、政府・公共サービス=126名
政府・公共サービスの場合、3番目に重要な影響は「優秀な人材を維持できない」こととなっています。
出典:PwC、2022 Global Digital Trust Insights、2021年10月

スリム化への移行

企業は複雑さがもたらすリスクを認識しているにも関わらず、業務の合理化を行っていると回答した割合はわずか35%にとどまり、25%は何もしていないか、着手したばかりと回答しました。しかし、変化は起きているようです。

組織のスリム化には時間がかかり、そのためには企業の視点や文化を変える必要があります。その実現は容易ではないものの、実現できれば大きなメリットがあります。過去2年間にサイバーセキュリティの成果が最も高かった(最も改善された)企業は、全社的に業務を合理化している割合がそうではない企業に比べ5倍高くなっています。これらの企業は、テクノロジーベンダーの統合(62%)、社内サービスとマネージドサービスの組み合わせの定義/再編成(60%)、部署と働き方の再編成(59%)、統合データガバナンスフレームワークの構築(58%)に重点を置いています。

ますます多くのCISOとCIOが、テクノロジーへの投資を慎重に検討するようになっています。テクノロジーベンダーやアプリケーションの統合により、管理が困難でリスクの高い、バラバラで脆弱なソフトウェアや技術スタックのもつれが解消されています。

サイバーセキュリティのスリム化――当然のことながら、サイバーセキュリティをスリム化することはとても困難です。特に、攻撃者が至る所から企業を狙ってくることを考えると、どこから手をつけるべきか判断することさえ困難です。回答者に、サイバープログラムとプロセスのスリム化を目的とした9つのイニシアチブの優先順位を尋ねたところ、回答者は優先順位をつけることができず、全てのイニシアチブにほぼ同等の重要性を割り当てました。徹底した防御のために複数の制御層を構築しているCISOは、善意の元に対策を行っていますが、複雑さとコストが増加しないよう配慮しなければなりません。統制の強化が、必ずしも企業に安全性の向上をもたらすとは限りません。

クラウドへの移行は、ビジネスプロセスとITアーキテクチャをスリム化し、そこに柔軟性をもたらし、イノベーションを加速するために役立ちます。しかし、企業は通常、クラウド予算のうち平均35%を非効率的に浪費しています。特に提供されるテクノロジーが絶えず変化している場合、広範なテクノロジーオプション、新しいアーキテクチャアプローチ、複雑なサービスプラン、未使用の容量、複雑な課金/価格設定により、複雑さが増大する可能性があります。

ただし、正しい方法で実施すれば、クラウドへの移行を安全かつ効率的に実施できます。6月に実施した米国での調査と同様に、本調査でもクラウドセキュリティは調査回答者にとって投資の最優先事項とされていました。このこと自体は心強いことですが、実際にこれらの投資から利益を得られたと答えたのはわずか16%に過ぎません。35%はクラウドセキュリティへの投資から十分な利益を得られておらず、45%は投資を始めたばかり、または計画中です。

企業がクラウドを用いたスリム化を行っているかどうかに関わらず、技術スタックとプロセスを最小化し、組み合わせることは大胆な措置と感じるかもしれません。しかし、それを実現するためには、難しい問いを投げかけ、「keep-it-simple(シンプルであり続ける)」という考え方を維持する必要があります。この目標を達成するには、組織のトップがセキュリティを重視したリーダーシップを発揮する必要があります。

大きな効果をもたらしうる取り組みを見逃さないでください。例えば、2要素認証を導入し、リモートデスクトッププロトコル(RDP)をファイアウォールの内側に配置するという2つの対策を行うことで、単独もしくはマルウェアやランサムウェア攻撃との組み合わせたフィッシングのリスクを大幅に減らすことができます。

組織のスリム化:過去2年間で10社のうち3社が合理化を行っている
リモート/バーチャル勤務とオンサイト勤務の新たな組み合わせの定義
%
部署・働き方の再編
%
テクノロジーベンダーの統合
%
統合されたデータガバナンスフレームワークの作成
%
標準的な反復プロセスの自動化
%
主要指標の統合ダッシュボードの作成
%
社内サービスとマネージドサービスの組み合わせの定義/再調整
%
レガシーテクノロジーの廃止を含むテクノロジーの合理化
%
プロセスの冗長性の排除
%
Q. 過去2年間で、以下の方法によりどの程度業務を合理化しましたか。「全社的に完了」と回答した割合を記載。回答選択肢は他に、「部分的に完了」「着手したばかり」「全く実施していない」が含まれます。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月
サイバーセキュリティのスリム化:支出は複数のイニシアチブに分散

サイバーセキュリティのスリム化の支出総額に占める平均割合

Q. 今後2年間で、サイバーセキュリティをスリム化するための以下の各イニシアチブに、サイバーセキュリティ支出のうちどの程度を割り当てる予定ですか。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

※本コンテンツは、Is your organisation too complex to secure?を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

綾部 泰二

パートナー, PwC Japan有限責任監査法人

Email

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email