KPMGが1,325人のCEOを対象に実施した「KPMGグローバルCEO調査2021」の結果によると、サイバー攻撃の脅威を「いつか来る」リスクとして頭の片隅に置くのではなく、狡猾な犯罪者が引き起こすビジネス阻害要因として、正面から捉えるようになってきたことがわかりました。

  • 今やサイバーセキュリティはビジネスの最優先事項であると考えている。
  • 明日ではなく今日、サイバーインシデントに備える必要がある。
  • 利害関係者から信頼され、サプライチェーンから真の利益を得るためには、「セキュア・バイ・デザイン」の考え方を含むサイバーセキュリティ文化を根付かせる必要がある。

今、取り組むべき優先課題

調査結果から、経営層がサイバーセキュリティをビジネスの最重要な優先課題と認識していることがうかがえます。
  • 今後3年間の組織の成長を妨げる最大の脅威として、サイバーセキュリティのリスクは、環境やサプライチェーンの問題と肩を並べている。
  • 79%が、情報セキュリティを戦略的な機能であり、潜在的な競争力の源泉であると考えていると回答している。
  • サイバーセキュリティの回復力は、今後3年間の業務上の優先事項のトップ3に入っている。

企業や政府がデジタル化を進め、機能的な相互接続を実現している最中に壊滅的なサイバー攻撃を受けた、というニュースがたびたび報じられていることを考えると、このような視点の変化は理に適っています。

悲観的な認識への変化

また、以下のように脅威に対する準備態勢をより悲観的に見ていることは心強いことです。

  • 「サイバー攻撃に対して非常によく準備ができている」と答えた回答者は、2019年の27%から2021年には10%に減少している。
  • 「サイバー攻撃に対してよく準備ができている」と答えた回答者も68%から58%に減少している。

この減少は、サイバーセキュリティ対策には1回限りではなく、継続的な投資が必要であるという認識が高まっていることを反映していると考えられます。ランサムウェアによる攻撃にも敏感になっています。57%が「ランサムウェア攻撃への対応計画がある」と回答していますが、「十分な計画がある」との回答はわずか8%、11%は計画がないことを率直に認めています。

今後求められる取組み

CEOの半数近く(46%)が、今後3年間、サイバーセキュリティにかかるスキルの向上、重大インシデントからの早期復旧を目指したガバナンスの強化に取り組むと回答しており、CEOの79%は 「サプライチェーン上の取引先を守ることは、自社組織のサイバー防御力を高めることと同じぐらい重要である 」と回答しています。また、CEOの72%が「ランサムウェアの脅迫に適切に対処するには、業界全体でのアプローチが必要である 」とも回答しています。

このように、「自分のところだけ守る」という考えでは対処できないという認識が広がってきています。「コミュニティ全体で守る」といったアプローチをとることで、同業者や法執行機関との協力関係が強化される可能性があります。今後、企業がより透明性の高いサイバーインシデント情報を開示し合うようになることを期待しています。銀行業界では、これまで何年にもわたって、素晴らしい情報共有とコラボレーションが行われてきました。また、通信、石油・ガスなどの重要インフラ業界でも、よりオープンな姿勢が見られるようになってきています。

サイバーセキュリティ文化の醸成

CEOの81%が 「サイバーセキュリティ文化の醸成は、技術的なセキュリティ対策と同様に重要である」と回答していることも注目に値します。中央のサイバーセキュリティチームのみで製品、チャネル、システムに存在するすべての脆弱性に対処する体制では、もはや持続できないことがわかっているからです。

サイバーセキュリティについて、品質管理のようにすべての経営層と管理職がその達成に責任を持ち、開発プロセスに組み込まれている組織文化を想像してみてください。そういった文化があれば、後で見つかった問題にもぐら叩き的対応をする必要はなく、セキュア・バイ・デザインにより、新しい製品、サービスにセキュリティ対策がしっかりと組み込まれるようになります。
CISOは、もはやサイバーセキュリティの問題を経営層にわかりやすく説明するだけの存在ではありません。セキュリティガイドライン、リソース、プロセスによって日々の経営判断に適切な習慣付けをすることで、しっかりとした価値観を各事業部に浸透させるといったベストプラクティスも存在します。しかし、デジタルリスクに対処するために「将来のシステムやサービスの設計に、セキュリティとレジリエンスの原則を組み込む予定である」との回答はわずか19%にとどまり、文化の醸成にはまだまだやるべきことがあることがうかがえます。

幽霊のような敵からビジネスの現実へ

ビジネスにおいては、競合の情報を収集して弱点を特定し、自社の強みを伸ばして競合のビジネスモデルを弱体化させ、継続的に改善していきます。サイバーセキュリティにおいても、テクノロジーの問題から「再構築」して、このようなステップで臨んでいく必要があります。
サイバー犯罪者は、謎めいた「幽霊のような敵」ではなく、ビジネス上の競争相手の1人と感じるかもしれません。彼らは、違法な戦術を用いてリスクを取ることに喜びを感じる組織犯罪の世界出身で、あなたの会社を犠牲に投資の見返りを求める、抜け目のない競争相手の1人に過ぎません。
このような考え方を採用することで、この脅威に、より戦略的かつ統合的な方法で立ち向かう自信を得ることができるでしょう。「KPMGグローバルCEO調査2021」の結果は、企業が恐怖と向き合い、足場を固め、増え続けるサイバーセキュリティリスクを管理する準備ができていることを示唆しています。

本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーとなります。
全文は下記のリンクよりご覧いただけます。

全文はこちらから(英文)
Securing the new business reality

お問合せ