{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
サイバーセキュリティ対策は、進展を遂げています
近年、誰も予想していなかった出来事により、リモートワーク、クラウドへの移行、サプライチェーンのデジタル化などが余儀なくされています。そして、このような動きのたびに、新たなサイバーリスクが発生しています。
ネガティブなことばかりではありません。CISOとサイバーセキュリティチームはこれらの課題に立ち向かうにおいて、他のCxOの支援を得ています。今回の調査対象の3,522人の回答者の70%以上が、過去1年間にサイバーセキュリティが向上したと回答しています。これは、累積的な投資とCxOの協力のおかげです。
他方、厳しい経済環境の中で、サイバーセキュリティ対策はダイナミックな対応が求められています。
- 新たなリスクを完全に軽減できたと答えたCxOは40%未満です。
- CISOの評価では、5つのサイバー能力(識別、検知、保護、対応、復旧)をさらに向上させる必要があります。
- CxOは、組織に対する脅威が高まっていることを認識しており、その脅威に対処する準備が十分でないことを懸念しています。
- 2023年には、情報開示の義務化、レジリエンステスト、データセキュリティとプライバシー保護などの課題に直面します。
サイバーセキュリティは、よりダイナミックな分野へと化しており、ビジネスの進展に合わせて急速に変化しています。
これからの課題の解決に必要なのは、ダイナミックな対応です。そのために、どのように進化を維持し、またCISOとサイバーセキュリティチームは、その最大の影響力を発揮するにはどうすれよいでしょうか。
CxOのためのサイバーセキュリティプレイブックは、PwCの最新調査Global Digital Trust Insightsに基づき、2023年に直面する課題と、サイバー有事に備え、CxOはいかに協力すべきか、を概説しています。
“スイートスポット”のサイバーセキュリティ
CISOが主導権を握り真にリードするために、独立したサイバーセキュリティ専門家の役割から踏み出し、少数の上級管理者だけでなく、CxO全体を巻き込んでいく必要があります。こうした協力体制は、これまで以上に重要になっています。
のCEO(過去に情報漏えいのあった企業では49%)が、来年度はCISOにセキュリティに関する協力を推進する権限を与えたいと考えています。
組織のビジネス計画を実現するために、CxOはいかにCISOと連携してサイバーセキュリティに関する意思決定や活動を行うかを探求します。
サイバーセキュリティに対するCEOの最も重要な貢献は何か
デジタル化の発展により、人々はセキュリティについて意識するようになりました。CEOはその変化を取り入れ、自社カルチャーの変革をリードすることができます。株主、顧客、従業員など企業の主要なステークホルダーは、セキュリティ侵害が会社の信用喪失につながると考えるようになっています。そのため、セキュリティにおける信頼の構築と維持はCEOの最も重要な役割となっています。これは、自社のセキュリティカルチャーを改善するよりよい方法であり、CEOはその変化を促進することができます。
のCEOと取締役会メンバーは、主要な事業や業務変化に対してサイバーリスク管理計画を要求しています。
取るべき行動:
サイバーセキュリティに対するコミットメントを表明してください。あなたの影響力を使って、抜本的な改革を促し、CxOの協調に対する組織的な弊害を取り除きましょう。
クラウドセキュリティプランは、クラウド上でのビジネスと同じように機敏に対応できていますか?
CIOとDevOpsチームは、クラウド導入の工程管理などをよく行うことがあります。したがって、取締役会やCxOのクラウドベースのサイバー攻撃に対する不安を払拭するために、CISOやコンプライアンスチームとより緊密に連携する必要があります。クラウドベースの脅威は、約40%の組織で増加しています。しかし、経営者の3分の2近くが、クラウド経由のリスクは十分に軽減されていないと回答しています。
CIO、CISO、CTOの19%のみが、クラウド攻撃に共通する4つの原因に対して、安全対策を講じたと確信しています。
取るべき行動:
バックエンド、フロントエンド、Internet of Things、および運用技術を保護するために、CISOと協力して、クラウド環境を早期に、そして常にロックダウンを行ってください。
私たちは、適切な分野に十分なコストをかけていますか? 投資により適切なサイバーリスク低減効果が得られていますか?
多くのCISOやCFOがサイバーへの投資方法を変更しています。CISOは、データを駆使し、事業目的と主要リスクを念頭に資金調達の意思決定を行っています。
技術的なソリューションが急増する中、CISOと協力して、組織をさまざまなレベルで保護するための大局的な計画を立てると同時に、会社の全てのソフトウェアを簡素化し、合理化する必要があります。
のCFOが、より多くのサイバー技術ソリューションを導入することがサイバーセキュリティ対策の改善に役立つと回答しています。
取るべき行動:
ITの現代化と簡素化を行う際には、投資とそのサイバーリスクの低減効果を熟慮してください。リスクコストを理解している企業は、セキュリティバイデザインを実施し、セキュリティを確保しています。
サプライチェーンやオペレーションをより強靭にし、サイバー攻撃から組織を守るためには、何をすべきでしょうか?
サプライチェーンは、サイバーやその他の脅威、競争やマクロ経済の圧力、ESGの懸念の焦点になっています。COOは、業務従事者のトレーニング、最新技術の導入、サードパーティーリスクの管理を強化することで、セキュリティの課題に取り組むことができます。しかし、サイバー攻撃者にとって運用技術(OT)は攻撃しやすくなっており、OTを攻撃から保護するために特に注意する必要があります。
のCRO、COOが、自社のサプライチェーン攻撃への耐性を「極めて」または「非常に」懸念しています。
取るべき行動:
CISOやCIOと協働して、ITと一緒に運用技術のセキュリティをいかに進めるか、計画を立てましょう。
取締役会は十分な対応をしているのだろうか? 取締役会メンバーとして、組織のサイバーセキュリティに対してよりよいガバナンスを発揮するには何をすべきでしょうか?
企業が増大するリスクに直面するにつれて、取締役会はサイバーに関与するようになっています。しかし、サイバーセキュリティに常に注意を払うという課題を認識していても、その監視のあり方は変わる可能性があります。取締役会メンバーは、事業戦略に関連するサイバーリスクを理解し、サイバー報告を改善するために、積極的に学び、より多くの時間を費やす必要があります。
の取締役会メンバーが、サイバーリスクが組織に及ぼす影響や要因を理解するについて、取締役会はあまり効果的ではないと回答しています。
取るべき行動:
CISO に取締役会メンバーでも理解できる説明を促してくだい。組織のサイバーレジリエンスを理解できる演習などに参加してください。
顧客データを公私ともに安全に利用するためにいかに管理、保護すべきか。
データ中心のビジネスになってきている現在において、DPOは多くの課題を抱えるようになりました。半数ほどのリーダーが、組織のデータガバナンスとセキュリティに十分な自信がなく、データに基づく意思決定ができないと回答しています。一方、CDOは、データのセキュリティとプライバシーに対してますます影響力を持つようになっています。CISOと提携することで、データとプライバシーをよりよく保護することができます。
CDO、CPO、CMOのうち31%が、CISOと「非常に有効」な関係を築いており、マーケティングにおいてプライバシーとセキュリティについて考慮しています。
取るべき行動:
CISOと協力して、ガバナンス、アクセスしやすさ、正確さなど、データセキュリティとプライバシーの重要な角度を全て網羅し、さまざまなステークホルダーの期待に応えましょう。
サイバーリスク分析結果は、組織のリスク許容度にどのような影響を与えますか? 事業部門のリーダーは、サイバーリスクの管理にどの程度関与していますか?
CISOとCROは、企業リスク管理プログラム全体にサイバーリスクを組み込むために協力してきました。しかし、多くのギャップが残っています。デジタル化の追求は、組織の許容範囲を越えるリスクを意味するかもしれません。そして、ますます巧妙化するサイバー攻撃に対処するために、強力な運用上および技術上のレジリエンス計画と制御を作成、テストし、導入する必要があります。
のCROとCOOが、深刻なサイバー攻撃を未然防ぐために組織全体で統制が取れていると回答しています。
取るべき行動:
攻撃の原因を特定するために「オールハザード」アプローチを取り、危機管理、事業継続、災害復旧、事故対応などのコアコンピタンスを統合したレジリエンスプログラムを構築し、企業全体に一貫した方法で対応します。
サイバー職をより早く充足し、人材を確保するにはどうしたらよいでしょうか?
CISOやCHROは、これまでの常識を覆し、資格や技術系学位の枠を超えて採用候補者の検索条件を広げている。問題解決能力など、いくつかの特性が少なくとも同じくらい重要であることを認識することで、候補者のプールを拡大しているのです。その一方で、既存の従業員を教育し、マネージド・サービスを利用して、企業のサイバーセキュリティを維持する手助けを始めているのです。
のCISOとCIOが人員削減が問題であると回答しています。約40%がこの問題を注視している。既に15%のサイバー目標の進捗を妨げている。
取るべき行動:
サイバー・プログラムに本当に必要なスキルは何かを問い、そのスキルのために採用方法を見直し、サイバー人材にインセンティブと成長パスを与え、それが留まる理由となるようにする。
2023年のレジリエンス計画では、破滅的なサイバー攻撃が最重要シナリオとして挙げられています。このような攻撃は、C-suiteのアライアンスを確実に試練に立たせることになります。
経営陣の3分の2が、サイバー犯罪を来年の最も重要な脅威と考えています。サイバー犯罪者は、ますます市販のツールを使用するようになっており、さまざまな攻撃を実行し、組織化することができます。
2023年、38%がクラウド経由のより深刻な攻撃を予想
侵害の概要: 攻撃者は、企業のクラウドホスティングされたインターネット向けアプリケーションの設定ミスを利用し、ユーザーデータを盗み出し、ブラックマーケットで販売しました。
攻撃がもたらす影響: データ所有者への通知費用がかかる。企業に対する集団訴訟の可能性。企業の評判を損なうことになります。
何が問題か?: 不適切なセキュリティ、深層防護の欠如、コーディングエラー、記述されたコードとライブラリコードの不適切なテスト、不適切な暗号化されたデータが問題です。
防御を強化するための連携のあり方:
- CIO: アプリケーション開発におけるDevSecOpsの実現と、ローンチ前の徹底したテストを行い、ユーザーと自動開発の両方から、設定ミスを修正します。
- CISO: アプリケーションとデータの安全性確保、脆弱性・侵入テスト、定期的なパッチ適用、継続的なコンプライアンス監視、セキュリティイベント・インシデント監視(SIEM)に関するポリシーと手順を確立し、実施します。
- CTO: クラウドサービスプロバイダとサードパーティに対して、環境全体の設定ミスを検出するためのダッシュボードとツールの提供を義務付けます。
- CDO: アプリケーションがプライバシー要件に準拠し、顧客データがパーティション分割され、暗号化されていることを確認し、保護を強化します。データの保存時、転送時、使用時に暗号化するソリューションを導入します。
大企業の29%がOT攻撃の増加を予想
侵害の概要: 旧来の制御・運用技術制御・運用技術(OT)が抱えている生産システムの攻撃可能な脆弱性がランサムウェアの攻撃を受けるなど侵害が生じます。
攻撃がもたらす影響: 被害の拡大を防ぐために攻撃されたシステムをシャットダウンするため、生産・操業停止を余儀なくされ、サプライチェーン全体に影響が波及します。
何が問題か?: 攻撃者は、パッチが適用されていない脆弱性に対してランサムウェア攻撃を行います。この悪用される脆弱性は、会社のシステムに対するパッチの適用は行われていますが、レガシーシステムに対するパッチの管理、監視、検出能力が不足することによって検出されないまま残存していたために発生しています。
防御を強化するための連携のあり方:
- CIO: CISOやCTOと協力して、ITシステムとOTシステムの収束や両者の重要な依存関係をマッピングします。
- CISO: CIOやCTOと協力して、ITとOTとを分離させ、OTに直接アクセスできないように安全なランディングゾーンを開発し、また、従業員に対して適切なアクセス方法やインシデント対応時の役割に関する研修を実施するよう要求します。
- CTO: CISOやCIOと協力して、エンドポイントのパッチ適用とモニタリングに係る計画を策定します。
- CRO: OT環境に存在するサイバーセキュリティリスクサイバーリスクを評価する手法を開発します。ITとOTの対応プロセスをつなぎ合わせるシナリオをインクルードし、かかるシナリオの下でのインシデント対応手順を習熟させます。
- COO: 産業用制御システムの調達プロセスにおいて、クラウドプロバイダーとの契約に際して、また、外部のサービスプロバイダーとのサービス契約を定義するに際して、サイバーセキュリティを入念に検討します。
セキュリティおよびIT担当役員の45%が、ランサムウェア攻撃のさらなる増加を予測しています。
侵害の概要: 医療従業員がフィッシング詐欺メールに添付されたファイルを開けることで、マルウェアがアクティブ化されました。
攻撃がもたらす影響: サービスに障害インシデントが発生し、病院のネットワークがほぼ完全にシャットダウンしました。
何が問題か?: アンチウィルスソフトウェアの有効期限が切れていたため、悪意のある添付ファイルに仕込まれたマルウェアを検出できなかったために被害が発生します。多要素認証がなかったことが、攻撃者に最初のアクセスを許すことになりました。その後数週間にわたり社内ネットワークで検知されなかったことから、このサイバー犯罪者は、ネットワーク内を偵察し、最終的にドメイン管理アカウントを取得します。そして、昇格された特権を獲得し、重要なITインフラストラクチャの大部分をシャットダウンしてバックアップを侵害するマルウェアの起動に成功しました。
防御を強化するための連携のあり方:
- CEO: 全組織的なセキュリティ認識研修を支援します。
- CIO: ITシステムと組織の環境とのつながりを再検討します。
- CTO: 医療デバイスを狙う攻撃シナリオにおいて、当該デバイスの脆弱性を評価します。
- COO: 類似の状況下において患者の安全確保のために取るべき対応の強化をはかるため、CIOとCISOを支援します。
- CISO: ITと制御・運用の間に存在するセキュリティギャップを埋めます。
- CDO: COO、CISO、CPOと協力して、顧客データの盗難や破損に伴うダメージの評価を行います。
- CRO: 危機管理チームおよびBC/DRチームとともに、レジリエンステストを実施します。
- CFO: CISOやCIOと協力して、規制当局や一般向けの情報開示を行う。発見された脆弱性の観点から、CISOやCIOと協力して、サイバーセキュリティ関連の支出(サイバーセキュリティ保険を含む)の再検討を行います。ランサムウェアの身代金支払いに関する会社の方針を決定します。
- 取締役: ランサムウェア攻撃に備えた管理職による机上訓練についての理解を深めます。サイバーインシデントやランサムウェア攻撃を受けた場合、取締役に情報を上げるべきタイミングを確認します。
ランサムウェアの事象発生後の検証例については、HSEのコンチサイバーアタックをご覧ください。
本調査について
『Global Digital Trust Insights 2023』は、ビジネス、技術、セキュリティの各分野を担当するエグゼクティブ(CEO、企業役員、CFO、CISO、CIO、CxO)3,522名を対象として、2022年7月から8月にかけて実施した調査です。また、女性エグゼクティブが占める割合は全体の31%です。
回答者の52%は大企業(売上高10億米ドル以上)のエグゼクティブ、16%は売上高100億米ドル以上の企業のエグゼクティブです。
回答企業の事業分野は、製造業(24%)、技術・メディア・通信(21%)、金融サービス(20%)、小売・消費者市場(18%)、エネルギー・電力・資源(9%)、保健衛生(5%)、政府・公共サービス(3%)と多岐にわたっています。
回答者の活動拠点は以下の通りです。西欧(31%)、北米(28%)、アジア太平洋(18%)、南米(12%)、東欧(5%)、アフリカ(4%)、中東(3%)。
Global Digital Trust Insights調査は、かつて情報セキュリティに関する世界情勢調査(Global State of Information Security Survey、GSISS)と呼ばれていたものです。
本調査は、PwCで市場調査とインサイト提供を担当するグローバルな研究拠点であるPwCリサーチが実施しました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
※本コンテンツは、2023 Global Digital Trust Insights: PwCを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください