現在と将来の最重要リスクに対してセキュリティを確保しているか

利用可能なデータとインテリジェンスを意思決定に使用している企業は、3社のうち1社もありません。過去2年間にサイバーセキュリティで最高の成果を上げた企業は、データと脅威インテリジェンスが自社のオペレーションモデルに不可欠であると答えた割合がそうではない企業と比べて18倍高くなっています。

信頼できるデータを使用してリスクを評価し、機会を実現する

組織のリーダーたちは、ビジネスに関する情報の検証および保護の重要性を認識しています。サイバーセキュリティに関するミッションの構成について質問したところ、最も多かった回答は、「いかに顧客のデータを倫理的に使用し、また保護しているかをもって、顧客との信頼を確立する」でした。 CEOが組織のサイバーミッションを定めるに際して何が最も重要か、との質問に対しては、CEOの18%とCEO以外の経営層の20%は「顧客の信頼」と回答しています。

PwCの2022 Global Data Trust Insights Surveyにおいて、「ビジネスオペレーション上、最も必要以上に複雑である」との評価を受けた分野は、データインフラストラクチャとデータガバナンスでした。回答者の77%が、どちらもその複雑さは「回避可能であり不必要である」としています。また、回答者の約4分の3は、これらの分野の複雑さがサイバーセキュリティとプライバシーに「懸念すべき」リスクをもたらしていると述べています。データが複雑になると、収集・生成した情報を企業が効果的に使用できなくなってしまうのです。

優れたビジネス上の意思決定のための信頼できるデータ基盤

企業はまず、「データトラスト」という優れた基盤を確立する必要があります。つまり、ビジネス上の意思決定にあたり、データを信頼して使用するために、それが正確かつ検証済みであり、安全であるよう確保しておくことが求められます(そして顧客データに関しては、不正な閲覧から保護するという意味で、自社は信頼に値すると顧客に認知してもらうことが必要です)。

しかし、ガバナンス、検出、保護、最小化の4つの主要分野で、成熟し、完全に実装されたデータトラストプロセスを備えていると答えたのは、回答者の約3分の1に過ぎません。回答者の4分の1近くは、正式なデータトラストプロセスが全く導入されていないと述べています。

完全で正式なデータガバナンスプログラムを実施していると回答した企業は約3分の1に過ぎず、これは非常に低い割合です。データ戦略を策定したら、ガバナンス(戦略を実行するためのポリシー、手順、プロセス)を直ちに実行する必要があります。

データの改ざんや盗難からデータを保護することも成功に不可欠ですが、暗号化や安全なデータ共有など、正式なデータセキュリティプロセスを完全に実施していると回答したのは約3分の1に過ぎません(34%)。データの完全性を検証し、保護することも重要です。データの完全性を検証しないことは、履歴書をチェックせずに従業員を雇うようなものです。情報の品質を確信することはできません。

全データをマッピングし、データの出所と行き先を把握している回答者は全体のわずか35%です。同じことが、成熟したデータ最小化プロセスを整備している企業にも当てはまります。

データは、サイバー攻撃者が最も欲しがる資産です。データを最小化することで、企業はそのリスクを最小化できます。そのために、必要なデータのみを管理、検出、保護し、残りは削除する必要があります。一般的に、下書き、複製、置き換えられたデータ、レガシーデータ、従業員の個人データなどが削除すべきデータに含まれます。価値の低いデータは、不要なリスクを生み出すだけでなく、価値の高いデータを押し出したり、埋もれさせたりする原因になります。

データトラストプラクティスを正式に導入していない企業の3分の2は、複数の点でリスクにさらされている可能性があります。効果的なデータガバナンスは業務上のレジリエンスだけでなく、EU一般データ保護規則(GDPR)やカリフォルニア州プライバシー権利法(CPRA)などの規制の遵守にとっても重要です。新しい、より厳格な規制の実施も視野に入っています。誰かが自身のデータに関する情報(何を保存しているのか、何に使用しているのか)について尋ねてきた場合に、迅速かつ正確に答えられるよう備えることが必要です。監督機関にそのような質問をされた場合、誤った回答をすると、高額な罰金につながる可能性があります。

一部の大手企業が実践しているように、データを増収のための真の資産に転換できるようになることは、優れたデータセキュリティのメリットの1つです。本調査における「最も進展した」企業は、全てのデータトラストプラクティスに関して正式なプロセスが全面的に実施されている割合がそれ以外の企業と比べて10倍以上高くなっています。

Trust in Data Surveyによると、より成熟したデータトラストプラクティスを持つ企業は、多くの点で一歩進んでいる傾向があります。これらの企業は、サービスをパーソナライズし、より効率的に運用し、顧客により良いサービスを提供することで、データマネタイゼーションにより収益を得ています。また、顧客の信頼が厚ければ厚いほど、明確に収益が向上するということに強く同意しています。これらの企業はこの1年間、顧客と投資家の信頼を向上させるために、力を入れて取り組んできました。また、これらの企業はサードパーティの監視を強化しており、そのリスクマネジメントに自信を持っています。

データトラストプラクティスはまだ一般的ではない

以下のデータトラストプラクティスに関する正式なプロセスを完全に導入していると答えた割合

Q. 以下のそれぞれについて、データトラストプラクティスの成熟度を評価してください(「正式なプロセスが完全に導入されている」と回答した割合)。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

先進的な取り組みを行っている企業は、サイバーセキュリティ領域において、その他企業に加えて2倍以上の進展を見て取ることができた。

使わないと損をする

どの企業も、サイバーリスク管理チームに十分にデータを提供できていない可能性がかなりあります。分析ツールとビジネスインテリジェンスツールをオペレーションモデルに統合していると答えたのは、調査回答者の3人に1人未満です。

これらの回答者は、サイバーリスクの定量化、脅威モデリング、シナリオ構築、予測分析のインサイトにデータを転換する能力に関して最も低いスコアとなっていました。これらは全て、スマートなサイバーセキュリティの意思決定に不可欠なテクノロジーです。

かなり多くの企業が、現在の先進的なインテリジェンスツールやアプローチのメリットを享受できていません。新しいタイプの内部データ、新しい外部ソースからのデータ、新しいデータパートナーシップ、情報共有プラットフォームは、ビジネスインテリジェンスの重要なソースになる可能性がありますが、これらのツールからメリットを得ていると答えた回答者は約4分の1に過ぎません。

つまり、残りの4分の3はその機会を逃していることになります。来年にサイバーセキュリティ予算の増加を見込んでいる企業は、多くの場合、オペレーションモデルでビジネスインテリジェンスとデータ分析を活用している企業です。データは、サイバーセキュリティ予算を賢く使うのに役立つだけでなく、その効果を高める上でも役立ちます。サイバーセキュリティの成果が最も進展した企業(上位10%)は、これらの先進的アプローチがオペレーションモデルに不可欠であると答えた割合がそれ以外の企業と比べて18倍高くなっています。

経営層は、データと情報をより適切な意思決定とリスク管理のために十分に活用できていない

現在のオペレーションモデルにとって重要であると回答した割合


リアルタイムの脅威インテリジェンス
%
評価・診断ツールにおける一般的な基準およびフレームワークの使用
%
コグニティブセキュリティを含む自律的な脅威の検出
%
一般的な業界指標やダッシュボード
%
FAIRなどの手法を用いたサイバーリスクの定量化
%
政策・規制に関する戦略的インテリジェンスプラットフォーム
%
脅威モデリング、シナリオ構築、予測分析
%

ツールやアプローチによりメリットが得られたと答えた割合


業界との情報共有プラットフォーム
%
政府機関との情報共有プラットフォーム
%
これまで使用していなかった新しいタイプの内部データ
%
ファーストパーティのデータソースを補完・強化する新しいデータパートナーシップ
%
これまで使用していなかった新しい外部情報ソース
%
Q. サイバー投資に関する意思決定やサイバーリスクへの対応において、以下のツールやアプローチをどの程度使用していますか。オペレーショナルインテリジェンスの向上に向けて以下のツールやアプローチを使用するにあたり、自社の計画を最もよく表しているものはどれですか。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

リスク、そして機会の評価

「現在のシステムオブシステム(複数のシステム群が統合された)の世界では、サイバーセキュリティはもはや『難しく測定できない』問題として扱うことはできません」と米国のCybersecurity and Infrastructure Security Agency(CISA)は主張しています。しかし、上記に記載の通り、現在サイバーリスクを定量化している企業はわずか26%に過ぎません。

脅威を特定して理解し、リスクを金額に換算して優先順位を付け、サイバー犯罪の傾向を予測できるデータは、サイバーセキュリティに投資するよう取締役会やCEOを説得するための強力なツールになります。一方、サイバーセキュリティに必要な資金の確保に苦心している場合、サイバーセキュリティリスクの定量化を改善する必要があるかもしれません。

同様に、データはリアルタイムのリスクを常に把握し、ビジネスの変化に応じてセキュリティの戦術・戦略を調整するのに役立ちます。5つの業界の回答者は、サイバーリスクを定量化することの最も重要な理由は、「変化するビジネス目標に対するリスク環境と優先順位を継続的に評価すること」であると述べました。企業のリーダーたちは、リスクは常に流動的な状態にあり、データは変化を監視・測定するためのツールであると認識しています。

リスクの大きさを評価することは、機会の大きさを把握し、サイバー脅威のシナリオを経営層や取締役会が理解できるビジネスのシナリオに結びつけるためにも重要です。ビジネスにおけるサイバーセキュリティの重要性を認識する企業が増加している一方で、多くの企業はまだ先の長い状況です。全体の37%~42%は両者の結び付けに「大幅な進歩」があると回答していますが、16%~18%はサイバーセキュリティの目標とビジネスの目標の調整がほとんど進んでいない、または全く進んでいないと述べています。

経営層は、絶えず変化するリスク環境の中でサイバーリスクの規模を評価したいと考えている

Q. サイバーリスクを定量化するための最も重要な理由は何ですか。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

2022年の脅威の見通し

今後12カ月の脅威の見通しについて回答者に予測を依頼した結果、60%はサイバー犯罪の増加を予想しており、53%が国家支援型の攻撃が増加する可能性が高いと回答しています。予想される標的としては、モバイル、IoT、クラウドが上位にのぼりました。しかし、攻撃の種類はほぼ全ての形を取りうることが想定されています。クラウドサービスに対する攻撃(22%)は、ランサムウェア(21%)とクリプトマイニング(21%)を僅差で超え、大幅な増加が最も見込まれています。その他の攻撃についても20%程度のスコアでした。特に、56%がソフトウェアサプライチェーンを通じたセキュリティ侵害の増加を予想しており、19%が大幅な増加を予想しています。このような回答は、北米の回答者では25%にのぼります。

2022年の脅威の見通し:経営層は、攻撃や報告すべきインシデントの急増を予想している
Q. 企業内でこれらの事象の報告すべきインシデントはどのように変化すると思いますか。これらのベクター/アクターを通じた脅威は、2021年と比べて2022年にはどのように変化すると思いますか。
回答者数3,602名
出典:PwC、2022 Global Digital Trust Insights、2021年10月

重要なポイント

CFOの場合

  • CISOと協力し、ビジネス目標に関連するサイバーセキュリティ予算に対してリスクベースのアプローチを取る。

CISOの場合

  • 強力なデータトラスト基盤を構築し、データのガバナンス、検出、保護、最小化に対する全社的アプローチを取る。
  • サイバーリスクの定量化からリアルタイムのサイバーリスクの報告までのロードマップを作成する。
  • サイバーリスクのみにとらわれず、サイバーリスクを企業全体のリスク、ひいてはビジネスへの影響に結びつける。
  • サイバーリスクをより詳細に説明し、ビジネスモデル内で何が有効であり、どこをスリム化する必要があるか特定します。

※本コンテンツは、Are you securing against the most important risks today and tomorrow?を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

綾部 泰二

パートナー, PwC Japan有限責任監査法人

Email

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email