現在と将来の最重要リスクに対してセキュリティを確保しているか

組織のリーダーたちは、ビジネスに関する情報の検証および保護の重要性を認識しています。サイバーセキュリティに関するミッションの構成について質問したところ、最も多かった回答は、「いかに顧客のデータを倫理的に使用し、また保護しているかをもって、顧客との信頼を確立する」でした。 CEOが組織のサイバーミッションを定めるに際して何が最も重要か、との質問に対しては、CEOの18％とCEO以外の経営層の20％は「顧客の信頼」と回答しています。

PwCの2022 Global Data Trust Insights Surveyにおいて、「ビジネスオペレーション上、最も必要以上に複雑である」との評価を受けた分野は、データインフラストラクチャとデータガバナンスでした。回答者の77％が、どちらもその複雑さは「回避可能であり不必要である」としています。また、回答者の約4分の3は、これらの分野の複雑さがサイバーセキュリティとプライバシーに「懸念すべき」リスクをもたらしていると述べています。データが複雑になると、収集・生成した情報を企業が効果的に使用できなくなってしまうのです。

優れたビジネス上の意思決定のための信頼できるデータ基盤

企業はまず、「データトラスト」という優れた基盤を確立する必要があります。つまり、ビジネス上の意思決定にあたり、データを信頼して使用するために、それが正確かつ検証済みであり、安全であるよう確保しておくことが求められます（そして顧客データに関しては、不正な閲覧から保護するという意味で、自社は信頼に値すると顧客に認知してもらうことが必要です）。

しかし、ガバナンス、検出、保護、最小化の4つの主要分野で、成熟し、完全に実装されたデータトラストプロセスを備えていると答えたのは、回答者の約3分の1に過ぎません。回答者の4分の1近くは、正式なデータトラストプロセスが全く導入されていないと述べています。

完全で正式なデータガバナンスプログラムを実施していると回答した企業は約3分の1に過ぎず、これは非常に低い割合です。データ戦略を策定したら、ガバナンス（戦略を実行するためのポリシー、手順、プロセス）を直ちに実行する必要があります。

データの改ざんや盗難からデータを保護することも成功に不可欠ですが、暗号化や安全なデータ共有など、正式なデータセキュリティプロセスを完全に実施していると回答したのは約3分の1に過ぎません（34%）。データの完全性を検証し、保護することも重要です。データの完全性を検証しないことは、履歴書をチェックせずに従業員を雇うようなものです。情報の品質を確信することはできません。

全データをマッピングし、データの出所と行き先を把握している回答者は全体のわずか35%です。同じことが、成熟したデータ最小化プロセスを整備している企業にも当てはまります。

データは、サイバー攻撃者が最も欲しがる資産です。データを最小化することで、企業はそのリスクを最小化できます。そのために、必要なデータのみを管理、検出、保護し、残りは削除する必要があります。一般的に、下書き、複製、置き換えられたデータ、レガシーデータ、従業員の個人データなどが削除すべきデータに含まれます。価値の低いデータは、不要なリスクを生み出すだけでなく、価値の高いデータを押し出したり、埋もれさせたりする原因になります。

データトラストプラクティスを正式に導入していない企業の3分の2は、複数の点でリスクにさらされている可能性があります。効果的なデータガバナンスは業務上のレジリエンスだけでなく、EU一般データ保護規則（GDPR）やカリフォルニア州プライバシー権利法（CPRA）などの規制の遵守にとっても重要です。新しい、より厳格な規制の実施も視野に入っています。誰かが自身のデータに関する情報（何を保存しているのか、何に使用しているのか）について尋ねてきた場合に、迅速かつ正確に答えられるよう備えることが必要です。監督機関にそのような質問をされた場合、誤った回答をすると、高額な罰金につながる可能性があります。

一部の大手企業が実践しているように、データを増収のための真の資産に転換できるようになることは、優れたデータセキュリティのメリットの1つです。本調査における「最も進展した」企業は、全てのデータトラストプラクティスに関して正式なプロセスが全面的に実施されている割合がそれ以外の企業と比べて10倍以上高くなっています。

Trust in Data Surveyによると、より成熟したデータトラストプラクティスを持つ企業は、多くの点で一歩進んでいる傾向があります。これらの企業は、サービスをパーソナライズし、より効率的に運用し、顧客により良いサービスを提供することで、データマネタイゼーションにより収益を得ています。また、顧客の信頼が厚ければ厚いほど、明確に収益が向上するということに強く同意しています。これらの企業はこの1年間、顧客と投資家の信頼を向上させるために、力を入れて取り組んできました。また、これらの企業はサードパーティの監視を強化しており、そのリスクマネジメントに自信を持っています。

データトラストプラクティスはまだ一般的ではない

以下のデータトラストプラクティスに関する正式なプロセスを完全に導入していると答えた割合

「現在のシステムオブシステム（複数のシステム群が統合された）の世界では、サイバーセキュリティはもはや『難しく測定できない』問題として扱うことはできません」と米国のCybersecurity and Infrastructure Security Agency（CISA）は主張しています。しかし、上記に記載の通り、現在サイバーリスクを定量化している企業はわずか26％に過ぎません。

脅威を特定して理解し、リスクを金額に換算して優先順位を付け、サイバー犯罪の傾向を予測できるデータは、サイバーセキュリティに投資するよう取締役会やCEOを説得するための強力なツールになります。一方、サイバーセキュリティに必要な資金の確保に苦心している場合、サイバーセキュリティリスクの定量化を改善する必要があるかもしれません。

同様に、データはリアルタイムのリスクを常に把握し、ビジネスの変化に応じてセキュリティの戦術・戦略を調整するのに役立ちます。5つの業界の回答者は、サイバーリスクを定量化することの最も重要な理由は、「変化するビジネス目標に対するリスク環境と優先順位を継続的に評価すること」であると述べました。企業のリーダーたちは、リスクは常に流動的な状態にあり、データは変化を監視・測定するためのツールであると認識しています。

リスクの大きさを評価することは、機会の大きさを把握し、サイバー脅威のシナリオを経営層や取締役会が理解できるビジネスのシナリオに結びつけるためにも重要です。ビジネスにおけるサイバーセキュリティの重要性を認識する企業が増加している一方で、多くの企業はまだ先の長い状況です。全体の37％～42％は両者の結び付けに「大幅な進歩」があると回答していますが、16％～18％はサイバーセキュリティの目標とビジネスの目標の調整がほとんど進んでいない、または全く進んでいないと述べています。

経営層は、絶えず変化するリスク環境の中でサイバーリスクの規模を評価したいと考えている