CxOプレイブック:セキュリティをイノベーションの中核に

「Global Digital Trust Insights 2024」調査結果より

イノベーションの中核にあるセキュリティ:この非現実的な世界が現実のものになったとしたら?

最先端のセキュリティプログラムへの期待はますます高まっており、配分される予算額も増加しています。しかし、実際のところセキュリティの強化は遅々として進んでおらず、むしろ停滞していると言ってもよいかもしれません。

PwCが世界的な大企業のビジネスエグゼクティブとテクノロジー分野のエグゼクティブ(回答者の3割は売上高100億米ドル以上の企業)計3,876名を対象に実施した「Global Digital Trust Insights 2024」調査によると、サイバーセキュリティの分野には改善の余地が大いにあることが明らかになっています。

ここでの結論についてもう少し検討してみましょう。サイバーセキュリティ・インシデントに対処するコストと損害額が高額に上る攻撃の件数は増加を続けています。サイバーセキュリティ上での懸念事項のトップを占めるのはクラウド経由の攻撃ですが、クラウドサービスプロバイダーに関する課題への対処を目的とするリスクマネジメント計画が存在しないとする組織は全体のおよそ3分の1を占めています。最も重要なサイバーセキュリティ分野で「極めて満足」できる技術的能力を有すると評価したのは、回答者全体の半数に過ぎません。3割を超える企業が、サイバーディフェンスにおいて標準的とされる手順に従わないことがあると回答しています。

イノベーションの中核にセキュリティが確保されている状況を想像してみてください。それこそが、すばらしい発想と大胆な野心が興隆する場所なのです。そして、そこにいるCISOが、組織の目標と貴重な資産を守るために活躍している状況を想像してみてください。

一方で、所定の手順が的確に実行されているとする回答が179ありました。回答者の上位5%に相当するこうした「デジタルトラストの番人」である企業は、それ以外の企業が取りこぼしているメリットを享受しています。すなわち、インシデントの低減に加え、たとえ攻撃を受けた場合でも、被害額の抑制が可能になっています。効率化の進んだセキュリティソリューションは、リスク管理の負担軽減に寄与します。加えて、競合他社よりも高い生産性と急速な成長を実現できるポジションに立っています。なぜなら十分に保護されているという確信の下で、躊躇なく新しいテクノロジーを導入できるからです。

「日常的に(全時間帯の80~100%)」強力なサイバーディフェンスを実施し、成長傾向があるサイバーチームの特徴

水準を分ける9つの指標:上位企業とその他の企業

上位5%の企業の特質

斬新なサイバーセキュリティ・イニシアティブを既に実行しており、それによるメリットを享受している企業の割合が他の6倍多い。

現在のサイバーセキュリティ技術能力にとても満足している企業の割合が他の5倍多い。

リスクマネジメント計画を継続的に見直し、クラウドリスクを軽減している企業の割合が他の4倍多い。

サイバーセキュリティ・レジリエンスのために日常的に行う活動を完成させている企業の割合が他の9倍多い。

上位5%の企業に認められる傾向

上位企業は、より多くの予算をサイバーセキュリティ目的に投資している。例えば、2024年のサイバーセキュリティ予算を増額した企業は85%に上り(回答全体では79%)、そのうち15%以上の予算増を予定している企業は19%(回答全体では10%)に及ぶ。

過去3年間に経験したサイバー攻撃のうちで最もダメージの大きかったものでも、被害額は10万米ドルを下回った(28%、回答全体では19%)。

生成AI(GenAI)を活用した新たなビジネス路線の開拓について、その可能性があると強く考える(49%、回答全体では33%)。

サイバーディフェンスの目的で生成AIツールを導入する計画がある(44%、回答全体では27%)。

「生成AIが壊滅的なサイバーセキュリティ攻撃を招く」という考え方には同意しない(33%、回答全体では22%)。

出典:PwC「Global Digital Trust Insights 2024」

テクノロジーが事業の中核に据えられる現在において、テクノロジーの防護は企業自体の防衛と変わらぬ重要性があります。このような事情を受け、PwCは2023年に、経営幹部レベルのエグゼクティブのためのプレイブックを作成しました。その目的は、経営幹部レベルの各エグゼクティブがCISOから提起された問題に的確に回答できるようにすることにあります。

今般、これを改訂して2024年版プレイブックを作成しました。2024年は重要な局面を迎えそうです。サイバーセキュリティは4つの意味で大きな転換点に直面しています。そして、その各々が破壊的な影響力を有している可能性があります。

box 1 and 2

ビジネスは常に生まれ変わろうとしています。また、政策立案者は、新たな規制手続きについて検討しています。あなたの会社のシニアエグゼクティブも、自社組織をセキュアに保護する上で、同様に革新的であろうとしているでしょうか。あなた自身はどの程度果敢に取り組んでいますか。また、新たな取り組みとして何が考えられるでしょうか。

サイバーセキュリティ・リスク管理の再構築が急務に

PwCが実施した「Global Digital Trust Insights 2024」調査によれば、サイバーセキュリティ・リスクの軽減が2024年の最優先課題となっています。「サイバーセキュリティ・リスクの軽減」は、PwCが2023年に実施した第27回「世界CEO意識調査」では、最優先すべきリスクの第4位に後退しましたが、今回調査の回答では、「デジタルおよびテクノロジーのリスク」に次いで第2位となっています。しかも、今回調査の回答者の意識においては、「デジタルおよびテクノロジーのリスク」とサイバーセキュリティ・リスクとは不可分の関係にあります。

今日のビジネス環境にあっては、サイバーセキュリティに言及すること無しにデジタルトランスフォーメーションやデジタル再構築について語ることはできません。今回の調査の回答者がサイバーセキュリティへの脅威として最も強く懸念しているのは、今日のビジネストランスフォーメーションの根幹をなす2大テクノロジーであるクラウドおよびコネクテッドデバイスに対する攻撃です。

大規模な攻撃の発生件数は増加傾向にあり、その規模も拡大しています。そして、対処に要するコストも増大しています。過去3年間に経験した最も重大な攻撃への対処費用が100万米ドルを超えたとする回答は、昨年調査の27%から36%に増加しました。

テクノロジーを活用して事業を再構築し変革しようとする動きに衰えの気配はありません。CEOの4割が、現状に安住していては、10年先にはもはや自分の会社が経済的に立ち行かなくなりかねないと懸念しています。このような状況下にあっても、再構築や変革の動きが止まることはありません。

CxOの課題:あなたの組織におけるサイバーセキュリティ・リスク管理は、世の中の動きに追随できていますか。

攻撃への対応コストは一層増大

過去3年間で、組織に最大のダメージを与えたデータ攻撃による推定被害額

被害額100万米ドル超の攻撃を受けたことがあるとする回答の割合
2024年全体=36%、2023年全体=27%

攻撃による被害額平均(100万米ドル)および100万米ドル以上のダメージを受けた攻撃の割合(%)(部門別)
質問5:過去3年間において最もダメージの大きかったデータ攻撃について考えた場合に、あなたの組織が被った損害はどの程度か推定してください。
調査ベース:セキュリティ、IT分野およびCFO回答者(1,651)
出典:PwC「Global Digital Trust Insights 2024」

サイバーセキュリティ・ツールの簡素化:悪意のあるアクターを破滅に追いやる方策

近代化と最適化は、2024年のサイバーセキュリティ投資における最優先課題です。ビジネスリーダーの約半数(49%)が、サイバーセキュリティ・インフラストラクチャーを含むテクノロジーの近代化を、また、45%が既存テクノロジーの最適化と投資を課題として選択しています。

2024年のサイバーセキュリティ予算では、既存ツールの最大限の活用を目指す

ビジネスリーダー:今後12カ月間で優先するサイバーセキュリティ投資(上位3項目)


サイバーセキュリティ・インフラストラクチャーを含むテクノロジーの近代化
%
現有テクノロジーと投資の最適化
%
サイバーセキュリティ・ロードマップに基づいて、リスク態勢の改善を継続
%
セキュリティ研修の継続
%

質問14b:今後12カ月間におけるサイバーセキュリティ予算配分に際して、あなたの組織では、次のどの投資を優先させますか(上位3項目)。調査ベース:ビジネスの回答者(1,925)
出典:PwC「Global Digital Trust Insights 2024」

PwCが2022年に行った調査では、特にCEOの間で、自らの組織が過度に複雑化しており、安全を維持するのが難しいという懸念が強いことが明らかになりました。この調査の時点では、32%の回答者が、簡素化に加え、マネージドサービスと内製化したサービスの役割分担の再編に取り組むために、テクノロジーベンダーを統合したと回答しています。

2024年調査では、サイバーセキュリティ技術ソリューションのための統合パッケージソフトを利用しているとの回答が44%、また、今後2年以内にこれに移行する計画があるとの回答が39%を占めました。回答者の5分の1近く(19%)が、サイバーセキュリティ・ソリューションが多すぎるので、統合が必要であるとしています。

過去3年以内に100万米ドル以上の損害を伴うデータ攻撃を経験している回答者には、自社で利用している過多なサイバーセキュリティ・ソリューションの統合が必要であると認識している傾向が他よりも強く見られます。このことは、攻撃の被害経験者であれば身をもって実感できるでしょう。他方、まとまりのあるサイバーセキュリティ・ソリューション・パッケージソフトを利用している組織は、多額の損害を伴う重大な攻撃をより多く回避できています。

クラウドセキュリティ:不十分な管理体制

回答者の約半数(47%)が、サイバーセキュリティ・リスク上の懸念事項のトップにクラウドセキュリティを挙げています。悪意のあるアクターが入り込む方法には事実上際限がありません。組織として、あらゆる場面を制御できるようにすべきです。すなわち、アイデンティティとアクセス、ラテラルムーブメント、eメールアカウント、ポータルサイト、アプリケーション、機密情報、顧客インタラクション、オペレーティングシステム、コネクテッドデバイスなど、挙げればきりがありません。

今回の回答者の多く(42%)は複数のクラウドを利用しています。しかし、複数の(ハイブリッド)クラウドを利用すると、クラウドセキュリティ上の懸念が増大します。このような回答者の54%が、最も急を要するサイバーセキュリティ・リスクはクラウドであると指摘しています。また、ハイブリッドクラウドのユーザーは、翌年に行うセキュリティ投資における3つの優先項目の中にクラウドを含める傾向が他のいずれよりも強く認められます(全回答者が33%である一方、ハイブリッドクラウドユーザーは36%)。

しかし、ほぼ全て(97%)の組織は、クラウドのリスクマネジメント計画において隙間が生じています。クラウドセキュリティ分野の9項目全てをカバーする最新の計画を維持しているとする回答は、全体の3%しかありません。例えば、断片化した制御がもたらすリスクに対処できていないとする回答が42%、集中リスクへの対応計画がないとする回答が41%、サードパーティクラウドのリスクに対応できていないとする回答が36%ありました。

クラウドセキュリティ:最大の脅威であり、最大の投資対象でありながら、管理体制は不十分

質問19:あなたの組織は、クラウドサービス・プロバイダーに関連する以下の課題にどの程度取り組んでいますか。
調査ベース:クラウドプロバイダーのユーザー回答者(3,648)
出典:PwC「Global Digital Trust Insights 2024」

CxOの課題:CxOが連携して、またクラウドセキュリティ・プロバイダーと協力して、どのようにすれば、組織のシステムにおいて最重要のエントリーポイントや資産の防御を、クラウドを介して進めることができるでしょうか。

サイバーディフェンスのための生成AIが増加の一途

回答者の7割近くが、サイバーディフェンスに生成AI(GenAI)を使うようになると予想しています。人間が主導するサイバーセキュリティ攻撃は、その膨大な件数が継続的に増加し、複雑性も強まる一方です。現時点ではサイバーセキュリティ・チームはこれに圧倒されていますが、生成AIツールの活用により、苦境を打開できるかもしれません。

サイバーディフェンスのための生成AI

質問7:生成AIに関する以下の記述はどの程度当てはまりますか。
調査ベース:全ての回答者(3,876)
出典:PwC「Global Digital Trust Insights 2024」

プラットフォーム運営者は、自社のサイバーセキュリティ技術ソリューションと並行して大規模言語モデル(LLM)のライセンスを与えています。Microsoft Security Copilotが目指すのは、セキュリティ動態管理、インシデント対応、セキュリティ報告を行うための生成AI機能を提供することです。Googleからは、これと同様の使用事例を想定したSecurityAI Workbenchが発表されています。

多くのベンダーが、生成AIの限界を押し広げるべく、その潜在性を試行しているところです。defenceGPTが広範囲に利用されるまでには、もうしばらく時間を要しそうです。その一方で、サイバーディフェンスでの生成AIの利用に関しては、脅威の検知と分析、サイバーセキュリティ・リスクとインシデントの報告、適応制御の3つの有望な分野が開けています。

CxOの課題:新しいツールをどのように駆使すれば、あなたの組織や社会がこれまでになかったような急激なリスクに見舞われるのを防ぐことができるでしょうか。生成AIの利用に際しての倫理や責任を果たすためには何をすべきでしょうか。

規制:安全な活動と成長の場を確保

新たな規則や規制は収益の障害となるという見解が主流ですが、少なくとも回答者の3分の1は以下のような見解も述べています。すなわち、監督当局が提案する安全措置を受けて、企業はより思い切った探求、試験、発明や競争が可能になり、リーディングカンパニーは規制の要件を乗り越えて進むことで競争上優位に立てる可能性があるということです。

今年実施した調査では、回答者のおよそ3分の1が、自らの組織が将来的に成長を維持していくために、4つのタイプの規制が非常に重要であると考えています。すなわち、①AIに対する規制(37%)、②サイバーセキュリティとデータプロテクション関連法規の整合化(36%)、③サイバーセキュリティ・リスクの管理、戦略とガバナンスに関する報告義務(35%)、④オペレーショナルレジリエンス要件(32%)の4つです。

4分の3もの多くの回答者が、このような規制を遵守するためには、かなりの費用と時間を要するだろうと予想しています。しかし、規制が施行される初期段階から、企業が規制プロセスに頻繁に参画しているならば、高額な費用と収益への悪影響を回避できるかもしれません。すなわち、法執行機関との会合を設けることであり、例えば、パブリックコメントに参画し、さらには監督当局との協議に臨んで、提案されようとしている通達の作成を支援し、影響を与えることです。

CxOの課題:不確実な規制の下、セキュリティとプライバシーを計画的に維持しつつ、変革していく余地をあなたの組織につくり出すことができますか。どのようにしたら、このような新しい規制環境を、競争上の優位性を確保するための根源に転化することができるでしょうか。

サイバーセキュリティに変化をもたらす可能性がある規制

組織の将来的な収益の増加に最も強く影響する規制目標と原則(上位3項目)


人工知能に対する規制
%
事業を行う地域で適用される整合的なサイバーセキュリティ法およびデータ保護法
%
サイバーセキュリティ・リスクの管理、戦略およびガバナンスの報告義務
%
事業を行う地域における整合的なプライバシーの権利またはプライバシー保護
%
オペレーショナルレジリエンスを目的とする規制要件
%
会計報告と財務情報開示におけるインシデントの報告義務
%
サイバーセキュリティ対策の失敗の責任を特定企業に転嫁
%
暗号通貨その他のデジタル決済の規制
%
特定のシニアエグゼクティブへの過失責任の押し付け
%
法執行機関への報告義務
%
分からない
%

質問24:以下に記す提案されている規制目標と原則のうち、あなたの組織における将来的な収益成長力の確保に最も強く影響しそうなものを挙げてください(上位3項目)。調査ベース:全ての回答者(3,876)
出典:PwC「Global Digital Trust Insights 2024」

旧態依然のサイバーセキュリティを敢えて打破する:CxOプレイブック2024

あなたの組織で、これまでと変わらぬ業務を続けることはもはやできません。それでも、2024年の「Global Digital Trust Insights」調査で明らかになったように、ほとんどの企業が旧態依然としたサイバーセキュリティに安住しています。

断片化したイニシアティブ、複雑化を強める一方のテクノロジー、隙間のあるリスクマネジメント計画それ自体が、リスク要因となっています。真に信頼できるサイバーセキュリティの確立に至る道筋には、期待通りの成果が得られない変化やプロジェクトなど、さまざまな困難が横たわっています。

あなたの組織のサイバーセキュリティ・プログラムは、サイバーセキュリティとビジネスのどちらをより重視していますか?

PwCは2023年のプレイブックで、CxOエグゼクティブがパートナーとして連携して対処すべき重要課題を明らかにしました。このような状況は今日でも変わっていません。

2024年には、次のような課題が待ち受けています:
CxOリーダーとして、思い切って組織の閉塞感を打破し、組織にとって最も重要な決断を大胆に下す覚悟はできていますか?
また、あなたの会社の目標達成を妨げているハードルを最終的に解消できるような大胆な想像の転換ができるでしょうか?

最善の選択のために、既に歩み出した企業もあります。そこには多くの選択肢が幅広く存在しています。あなたの組織にとって、何が正しい選択でしょうか。

従来と異なる言葉での働きかけ

CISO、CFO、法務

あなた自身をイノベーションの中核に置くということは、社内のリーダーシップ層の居場所において、あなたの行動に対して怖気づかないよう諭すことを意味します。「サイバーランドスケープ」「アタックサーフェス」はもちろん、「ゼロトラスト」といった関係者にしか通用しない言葉は、専門外の人々を必要以上に当惑させるだけです。

ビジネスの会話、技術的な会話、金融の会話や日常的な会話でも、サイバーセキュリティについて語るようにしましょう。また、年次有価証券報告書などの文書でも、あなたの会社の取引先、投資家、ビジネスパートナーに対して、情報を提供し、参加を促すように語りかけましょう。現在のような変革の真っただ中にあっては二律背反や緊張、混迷が発生するのは致し方ないことですが、普通の言葉で語れば、エグゼクティブたちがこのような問題をもっと巧みに処理できるようになるかもしれません。


大胆かつ新しい方法で、サイバーリスクを管理

CISO、CRO、内部監査、CCO、COO

サイバーセキュリティ・リスク・モデリングの手法を高度化しましょう。例えば、脅威のスキャニングにおいて、あなたの会社の各部門や会社のビジョン、戦略に特化した手法を活用することなどです。賞与支給対象の全従業員に対して、リスクに関連する成果にインセンティブを与える仕組みを導入して、リスクカルチャーを醸成しましょう。会社の弱点を見つけ出して補強するための新しい方法を考案しましょう。

おそらく、個別のセキュリティリスク調査に対してインセンティブを与える現代版のバグ報奨金プログラムを創設するとよいでしょう。そして、クラウドファーストの一元管理IDソリューションを調達して活用し、会社の目標である事業拡大をセキュアに進めましょう。


安全策の構築

CISO、CIO、法務、リスク監査

規制の遵守だけを語るのではなく、信頼を勝ち取る言葉で語りましょう。新しい規則の導入が予定されているときは、その規則に影響を与える機会を求めて、早期から積極的に参画しましょう。そして、このような規則が事業の成功の妨げになるのではなく、成功に資するようにしましょう。あなたの会社の経験とインサイトは、AI、メタバース、暗号通貨、プライバシーなどの規制を巡るホットな課題に大きく貢献できるかもしれません。一般の人々と同様に、監督当局者もまた、サイバーセキュリティやテクノロジーの仕組みに困惑している可能性があることを忘れてはなりません。


創造的な思考に向け、退屈な作業からチームを解放
(オートメーション、生成AI、マネージドサービス)

CISO、CIO、CTO、CRO、COO

オートメーション化や生成AI、マネージドサービスのメリットの一つは、常に目配せできるようになることです。もう一つのメリットは、チームが日常的に行う雑事をこれらのシステムで代行できることです。チームのメンバーを退屈な作業の過酷さから解放することにより、新たなサイバーセキュリティの脅威について熟考し、進化を続ける脅威を阻むための新たな手段を創出する時間と余裕が得られるかもしれません。


サイバーセキュリティを取締役会の主要議題に

CISO、取締役、CEO

多くの企業において、また多くのエグゼクティブ調査において、サイバーセキュリティはリスクレジスターの最上位に位置付けられています。しかし、あなたの会社の取締役会では、サイバーセキュリティが主要議題として検討されているでしょうか?サイバーセキュリティ・リスクとその制御に関する情報だけでなく、主要なイニシアティブを戦略的にとっていくことが事業の成長と収益の増加にどのように寄与しているかについても良質な情報が得られているでしょうか。セキュリティは、組織が行うあらゆるもの(エグゼクティブたちの議論では必ず取り上げられそうな金融、成長、人事、技術などのビジネス分野)の基礎となります。

サイバーセキュリティ・プログラムを直視することは大胆な行動であるかもしれません。


事業オーナーの視点から思考

CISO、CEO

ビジネストランスフォーメーションとサイバーセキュリティ・トランスフォーメーションとは別物ではありません。これらに相違点はないのです。いまやCISOとCEOとが力を合わせ、事業オーナーの立場に身を置いて、事業全体的な取り組みとしてサイバーセキュリティを進んで活用する必要があります。

財務記録、個別受託調査(プロプライエタリー調査)、アプリケーション開発、取引先データなど、全ての局面において、不正閲覧や不正使用からの保護は喫緊の課題です。同時に自社ブランドの保護も不可欠です。サイバーセキュリティを通じてイノベーションを促進し、費用の節減と事業の成長を実現することができます。ここにサイバーセキュリティの存在意義があるのです。

CxOプレイブック:セキュリティをイノベーションの中核に「Global Digital Trust Insights 2024」調査結果より

本調査について

「Global Digital Trust Insights 2024」は、2023年5月から7月にかけて、ビジネス、テクノロジー、セキュリティ分野のエグゼクティブ(CEO、企業役員、CFO、CISO、CIO、CxO役員)3,876名を対象に実施した調査です。

回答者の40%は売上高50億米ドル以上の大企業の経営層、そして重要なことに、その30%は売上高100億米ドル以上の企業の経営層です。

回答企業の業種は、製造業(20%)、金融サービス(20%)、テクノロジー・メディア・通信(19%)、小売・消費財(17%)、エネルギー・ユーティリティ・資源(11%)、ヘルスケア(9%)、政府・公共サービス(3%)と多岐にわたっています。

回答者は71カ国に拠点を置いており、その地域別分布は、西欧(32%)、北米(28%)、アジア太平洋(18%)、中南米(10%)、東欧(5%)、アフリカ(4%)、中東(3%)となっています。

「Global Digital Trust Insights」調査は、以前は「グローバル情報セキュリティ調査(GSISS)」として知られていたものです。今年で26年目を迎える本調査は、サイバーセキュリティの動向に関する年次調査として最も長い歴史を有しています。また、サイバーセキュリティ業界で最大規模の調査でもあり、セキュリティおよびテクノロジー分野のエグゼクティブだけでなく、ビジネス部門のシニアエグゼクティブの参画を得ている調査としても他に類を見ないものです。

本調査は、PwCで世界の市場調査とインサイト提供を担当するCentre of ExcellenceであるPwCリサーチが実施しました。

※本コンテンツは、The C-suite playbook: Putting security at the epicenter of innovationを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください

Global Digital Trust Insightsの調査結果から、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説したレポートは以下のリンクからご覧ください。

Digital Trust Insights 2024:増加するデジタル規制の情報格差をどのように埋めるのか

執筆者

綾部 泰二

パートナー, PwC Japan有限責任監査法人

Email

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

エレドン ビリゲ

マネージャー, PwCコンサルティング合同会社

Email

牧 言美

アソシエイト, PwCコンサルティング合同会社

Email

岡村 彰太

アソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ