PwC Japanグループ、「グローバル情報セキュリティ調査2018（日本版）」を発表

‐企業のサイバーセキュリティ戦略が頻繁に見直される国、日本
‐一方で日本企業の経営陣はサイバーリスクへの備えに自信がない

2018年6月15日
PwCコンサルティング合同会社
PwCサイバーサービス合同会社
PwCあらた有限責任監査法人

PwCコンサルティング合同会社（東京都千代田区、代表執行役CEO：足立 晋）、PwCサイバーサービス合同会社（同、代表執行役：足立 晋）、PwCあらた有限責任監査法人（同、代表執行役：木村 浩一郎）は、6月15日、「グローバル情報セキュリティ調査2018（日本版）」の結果を発表しました。本調査は、世界最大級のプロフェッショナルサービスネットワークであるPwCが、CIOおよびCSOを含む経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査です。

本調査の結果、日本企業はグローバルと比較し、サイバーセキュリティ戦略の見直し頻度が高い一方、自社のサイバーセキュリティ対策への自信は顕著に低い実態が浮き彫りになりました。また、原料調達から消費者に届くまでのサプライチェーン全般へのセキュリティ基準定着を重要視する傾向がみられ、事業継続を脅かすサイバーインシデントに強い危機感を持っていることが推察されました。

PwCコンサルティング合同会社 サイバーセキュリティ・アンド・プライバシー・リーダー 山本 直樹は次のように述べています。

「サイバー攻撃は今では事業の継続そのものを脅かすリスクと捉えられるようになっています。日本企業は、サプライチェーン全体へのセキュリティ対策の必要性を認識していますが、実際の対策は緒に就いたばかりです。自然災害へのBCP（事業継続計画）に関して、日本企業には長年の蓄積があり、そこで培ったナレッジをサイバー攻撃への対策にも活用していくことが有効だと考えています」

「グローバル情報セキュリティ調査2018（日本版）」の主な調査結果

グローバル全体での傾向

• サイバー社会の相互依存性によるリスクの高まり
  世界経済フォーラム（WEF）によると、インフラネットワークにおけるサイバー相互依存の高まりは、世界的にトップレベルのリスク要因とされています*1。世界各国の多くの人々、特に日本や米国、ドイツ、英国、韓国は、他国からのサイバー攻撃を危惧していることが分かっています*2。一方で、サイバーセキュリティの準備状況は国によって大きな差があるといわれています*3。本調査より、サイバーセキュリティ戦略の見直し頻度が特に高い国は日本（72％、図3参照）であることが分かりました。
  

• 経営陣のサイバーリスクへの備えに対する責任
  大半の企業の取締役会が自社のセキュリティ戦略や投資計画に積極的に関与していない実態が浮かび上がりました。取締役会が包括的なセキュリティ戦略に積極的に参加しているという回答は44％に過ぎず、いまだセキュリティをITの問題と捉えていることが分かります。
  

• 経営陣がとるべき次のステップ
  経営陣は自ら先頭に立ち、セキュリティ戦略へ積極的にかかわり、リスク回避の域にとどまらず、利益を得る手段としてレジリエンスを追求していくことが必要です。例えば日本では、2011年の東日本大震災が起こる前に事業継続計画（BCP）を作成していた企業は、災害後、競合他社よりも早く業務を再開でき、市場シェアを伸ばしたことが分かっています*4。世界各国の政府は、主要業界のレジリエンス強化のために有用なプラクティスやテクノロジーを開発し、長期的な利益を得ています。
  

世界全体と日本企業の調査結果の比較

• 日本企業はサプライチェーンへのセキュリティ基準の定着を重視
  2017年5月に発生したランサムウェア騒動にもあるように、システムの可用性をターゲットとした世界規模のサイバー攻撃が発生しています。ネットワークが複雑化し、企業間の相互依存性が高まる現代においては、サプライチェーンのうち1社が業務を停止すると、全体へ波及し、大きな損害を引き起こしかねません。直近の重要なサイバー対策として、「サプライチェーンへのセキュリティ基準の定着」を重視する日本企業が多いことが分かりました【図1】。
  

• サイバーセキュリティ対策に自信のない日本企業
  サイバーセキュリティ対策への自信について調査したところ、「自信がある」と回答した企業は、グローバル74％に対し、日本企業は38％にとどまりました【図2】。しかしながら、日本企業が、グローバルに比して大きく遅れているわけではありません。上記に挙げたとおり、サイバーセキュリティ戦略の定期的な見直しや、従業員の教育など、積極的に進めている施策もあることが分かります【図3】。
  

調査結果に基づいた日本企業への示唆

• 自然災害へのBCPをサイバー攻撃へのBCPへ転用する
  自然災害の多い日本では、以前から多くの企業がBCP（事業継続計画）を策定し、運用してきました。自然災害へのBCPとサイバー攻撃へのBCPは共通点も多く【図4】、これまでのノウハウを有効活用できると考えられます。自然災害へのBCPをサイバー攻撃へも拡張し、障害が発生した場合においても、事業を継続することができるようにしておくことが必要と考えられます。
  

• 経営陣が正しく理解できる報告
  セキュリティ投資に関する報告は、サイバーセキュリティの技術用語を多用するのではなく、経営陣が常日頃より接している指標や用語を用いて行うことが効果的です。大多数の経営陣は、どの程度損失・復旧コストが生じたのか、株価がどの程度影響を受けたのかなどを気にかけています。経営陣が実感として理解できる報告を行うことが必要です。

「グローバル情報セキュリティ調査2018」調査概要

調査主体：PwC、CIO Magazine、CSO Magazine

調査期間：2017年4月24日～2017年5月26日

調査方法：オンライン調査

調査対象：9,500人以上の最高経営責任者（CEO）、最高財務責任者（CFO）、最高情報責任者（CIO）、最高情報セキュリティ責任者（CISO）、最高セキュリティ責任者（CSO）、副社長、ITおよび情報セキュリティ役員。うち日本の回答は257人。

調査地域：122カ国（北アメリカ38％、欧州29％、アジア18％、南アメリカ14％、中東および南アフリカ1％)

「グローバル情報セキュリティ調査2018」の結果、3つの重要トレンドが浮かび上がりました。本発表は、「サイバーショックに備え、デジタル社会を強化する」をテーマとしています。今後残りのテーマについてWebサイトにて公開していきます。

• サイバーショックに備え、デジタル社会を強化する
  
• データドリブンの世界でプライバシーと信頼を回復する（仮題）
  
• サイバーセキュリティの将来（仮題）
  

以上

*1 World Economic Forum, 2017 Global Risks Report, January 2017

*2 The Pew Research Center, Spring 2017 Global Attitudes Survey, August 2017

*3 The report ranked Singapore, the United States, Malaysia, Oman, Estonia, Mauritius, Australia, France,Georgia, and Canada as the most committed member states

*4 PwC, Building a Risk Resilient Organisation, 2012

*グローバルの主な調査結果はこちら