不確実で絶えず変化する環境のなかで、顧客や従業員、投資家は信頼できる組織を求めています。デジタルトラスト(デジタル技術の活用への信頼)を築き維持するためには、サイバーセキュリティとプライバシー保護が不可欠です。企業はデータ収集を強化し、人工知能(AI)や機械学習(ML)技術の利用を拡大し、環境・社会・ガバナンス(ESG)の課題解決に取り組んでいますが、これらに関連する規制・基準はますます厳しくなっています。
本レポートは、日本を含む世界各国の約1,900名の上級管理職を対象に、サイバーセキュリティとプライバシー保護による信頼構築と維持に果たす役割を調査しました。サイバーセキュリティサーベイの結果を基に、経営層がどの程度これらの状況や課題を認識しているか、どのように課題に取り組んでいるか、次に何をすべきかを分析しました。また、最高情報セキュリティ責任者(CISO)が果たすべき重要な役割についても述べています。
1.デジタルの進化
【デジタルエクスペリエンスへの投資対象として上位の分野】
2.デジタルトラストの動向
【AIとMLが情報セキュリティチームにもたらす新たな課題】
サイバーセキュリティとプライバシー保護に関する規制の見通し
デジタルトラストに対する社会的な関心が高まるにつれ、法律家や規制当局の関心も向上し、透明性と監視に対する要求も高まっています。
- 36%の回答者は、デジタルサービスプロバイダーに業務を委託する場合、サイバーセキュリティに関する既存または新規の規制に準拠しているかどうか懸念しています。
- 34%の回答者は、サイバーセキュリティに関連する企業報告書の開示について懸念しています。
- 31%の回答者は、英国やEU、米国で規制強化の対象となっている、重要なインフラに関する要求が高まっていることを懸念しています。
規制の先を見据える
デジタルトラストはESG戦略の一部であるべきで、特に社会やガバナンスに関連する問題については、CISOが重要な役割を担っています。デジタルトラストをESGに組み込むため、ESGの担当者は、サイバーセキュリティ(多くの場合、CISO)やデータプライバシー(多くの場合、データ保護責任者(DPO))の担当者と協力する必要があります。
3.信頼できるコミュニティの構築
サイバーセキュリティの課題に対処するためには、効果的なコミュニティの構築が不可欠で、エコシステム全体への信頼確立を目指す必要があります。
ただ、リスク管理、評判、法律、戦略などに関する大きな懸念が、依然としてその目標を妨げている可能性があります。
- 44%の回答者が「より広範なエコシステムでサイバーセキュリティに関して協力することが、サイバー攻撃の予知能力向上に役立つ」と回答しています。
- 38%の回答者が「プライバシーに関する懸念が外部とのサイバーセキュリティパートナーシップの妨げになっている」と答え、36%が、自社のセキュリティ体制について開示しすぎないかためらっています。また、規制による制限、経営層のサポートの欠如、リソースの不足などの課題が挙げられます。
- 79%の回答者が「効果的なサイバーセキュリティにはサプライヤーの建設的な関与が不可欠」と述べているにもかかわらず、「その実現に向けて実際に協力している」と答えた回答者はわずか42%にすぎません。
4.CISOの進化
CISOの役割は、デジタル変革、サイバー犯罪の増加、規制の厳格化などを背景に、過去5年間で急速に拡大しています。
一方、取締役会における認識は、「CISOを重要な幹部とみなしていない」、「CISOから提示された技術的な詳細を理解していない」といった課題があります。取締役会がCISOの活動やサイバーセキュリティに対するアプローチについて見識を改めてもらえるよう、サイバーリスクの定量化を実現し、経営層へ提示することがCISOの役割として求められています。
- 65%の回答者が「情報セキュリティはビジネスを実現するものというより、むしろリスク低減のための活動として捉えられている」と回答しています。
- 57%の回答者が「経営層は情報セキュリティの強化による信頼性の向上がもたらす競争上のメリットを十分に理解していない」と回答しています。
【取締役会の見解が分かれる「CISOの影響力」】
5.ミッションの達成
経営者は、組織とそのエコシステムに対する信頼を高めることが重要であると認識しており、CISOも自身が企業の目標を達成するための推進役を担っていることを認識しています。経営層からの強力なサポート、他部門からの協力、外部パートナーやサードパーティとの生産的な協力の下に、CISOがサイバーセキュリティとプライバシー保護を組織の信頼を強化する方法として利用することで、あらゆる競争優位性を企業にもたらすことができます。
【サイバーセキュリティとプライバシー保護を通じた信頼構築のための重要な5つのステップ】
|
6.日本の特徴
【リスクモデリングによってサイバーリスクを定量化し、取締役会にリスクを視覚的に報告していますか】
【日本企業におけるセキュリティ対策の課題】
|
1.取締役会でのセキュリティコストの理解促進
CISOは、投資の必要性だけでなく、現在のサイバー攻撃のトレンドや、攻撃にさらされる要因などを取締役会で説明し、投資判断を後押しする役割を担うことが求められています。
- グローバル全体で、約半数が「取締役会は情報セキュリティを必要なコストとみなしている」と回答したのに対し、日本は43%にとどまり、特に北米(52%)との差は顕著でした。
- 「取締役会がCISOから提示された技術的な詳細を理解していない」との回答がグローバル全体では31%だったのに対し、日本では37%に達しました。
2.CISOの影響力の向上
日本では「取締役会はCISOを重要な幹部とみなしていない」「CISOは十分な影響力を持っていない」との回答率が高く、組織におけるCISOの影響力が限定的であることが読み取れます。
【取締役会とCISOに関連する日本とグローバル全体の比較】
3. 社内外でのセキュリティ連携強化
他国と比較して日本のCISO/セキュリティチームは力を発揮できていないという結果になっています。
社内外との連携に関する領域としては「サイバーセキュリティに関する教育・啓発の推進」「サイバーインシデント発生時のステークホルダー・広報対応」「規制当局との相互信頼関係の構築」が挙げられ、さらなる推進が必要な状況が明らかになりました。
【自組織のCISO/セキュリティチームは以下の領域で力を発揮することができていますか】
4. デジタルトラスト獲得のための社内支援
CISO/セキュリティチームは、DXにおいても強固なセキュリティが確保できるよう、「セキュリティ・バイ・デザイン」の考え方に沿って、ルール・ガイドラインの整備や体制の確立に取り組み、内部関係者を支援する必要があります。
- 「サイバー攻撃からIT資産を保護するためのテクノロジーの導入」において、グローバル全体で80%、日本が73%となっており、日本では、システムの完全性を確保する取組みについて優先順位が比較的低い可能性があります。
- また、「社内パートナーの業務改革支援」についても日本とグローバル全体とで乖離がみられました。
5. サプライチェーン攻撃への対応強化
ランサムウェア攻撃は、いまや企業単体のみにとどまりません。パートナー企業のセキュリティチーム間で最新のサイバー攻撃の事例共有を行う勉強会の開催や、CSIRT間で脅威情報・脆弱性情報を共有する仕組み作りなど、今後はサプライチェーン全体でのセキュリティ強化が一段と必要になります。
- 「サイバーセキュリティ強化のためにパートナー企業との協力/情報交換を行っている」という回答がグローバル全体で42%でした。ただ、日本企業においては30%程度と、グローバル全体を10ポイント以上下回りました。
6. サイバーセキュリティコミュニティの構築
サイバー攻撃にはトレンドがあり、それを理解するためには、自組織への攻撃だけでなく、コミュニティを通じてどのような攻撃が増加しているか、サイバー攻撃の動向をタイムリーに収集することがカギとなります。
- 日本企業では「各国政府」「サイバーセキュリティ関連のNGO」「国際機関およびフォーラム」のいずれにおいても、サイバーセキュリティ強化のための協力/ 情報交換が十分ではない結果となりました。
【サイバーセキュリティ強化のために、次のうちどの組織と協力/情報交換をしていますか】
<ご参考>
本レポートに関連する参考記事を紹介します。あわせてご一読いただければ幸いです。