サイバーセキュリティサーベイ2023

コロナ禍を経て社会のデジタル化が一段と進んだことに伴い、サイバー攻撃もより高度に、より巧妙になりました。代表例がランサムウェアによる攻撃で、産業界に喫緊の課題を突きつけています。

本調査においても、業務上の被害があったサイバーインシデントとしてランサムウェア攻撃を挙げた企業が最も多いという結果になりました。また、過去1年間に1,000万円以上の被害額が発生した企業が30%を占め、1億円以上の被害が発生した企業もサイバーセキュリティサーベイ2022（以下、2022年の調査）の1.1%から6.7%に増加しています。

被害が大幅に拡大している半面、CISOの設置、SOCの整備、CSIRTの整備といったインシデント対応に備えた体制整備は進んでおらず、日本企業の対応の遅れが浮き彫りになりました。多くの企業がサイバーセキュリティ予算や人材の確保に苦労している状況も続いています。

海外子会社がサイバー攻撃を受ける事例が増えており、本調査では、海外子会社管理についての設問を設けました。結果は、海外子会社のセキュリティ対策について、40%程度の企業が子会社任せで親会社が十分に関与していない実態が明らかになりました。

さらに、今後、導入が加速するとされるAIに関する設問では、プライバシー、サイバーセキュリティ、ハルシネーションなどのリスクへの懸念が高いことがわかりました。

今回で6回目となる「サイバーセキュリティサーベイ」は、KPMGコンサルティングが、サイバーセキュリティ促進のための有益な情報提供を目的として調査を実施したものです。

1．サイバー攻撃の実態
2．セキュリティ管理態勢と対策
3．海外子会社管理
4．制御システムセキュリティ
5．AI導入およびAI導入に係るリスク管理

サイバー攻撃の発生状況と攻撃手法

過去1年間で業務上の被害をもたらしたサイバー攻撃は「ランサムウェア」が最も多い結果となりました。ランサムウェアは実被害を与える攻撃手法として比較的効果が高く、今後も継続してインシデント発生に備える必要があります。

サイバーインシデントによる被害

サイバーインシデントによる被害額は、2022年の調査と比較して「1億円以上」が1.2%から6.7%、「1,000万円～1億円未満」が14.9%から23.3%と急激に高額化しています。また、過去1年間に発生したサイバーインシデントの被害の特徴としては、「自社の機密情報が漏えいした」「顧客や取引先の機密情報が漏えいした」という回答の増加が目立ちました。

サイバー攻撃の侵入経路

子会社や委託先のシステムを経由した攻撃が41.5%を占めており、直接本社のシステムを攻撃する経路の約2倍になっています。本社における対策のみならず、子会社や委託先を含めたサプライチェーンにまで目を向け、侵入経路の抜け道ができないようにセキュリティ対策を強化する必要があります。

サイバーセキュリティ組織体制

回答企業の81.8%がセキュリティ組織を整備しており、2022年の調査結果（76.1%）よりも組織整備が進んでいることがわかります。

CISOの設置

回答企業の60.9%が最高情報セキュリティ責任者（CISO）もしくはサイバーセキュリティ責任者を設置しており、微増ではあるものの、2022年の調査結果から増加傾向にあると言えます。

SOCの整備

回答企業の45.0%が何らかの形でSOC（Security Operation Center）を導入しており、そのうち外部のSOCサービスを利用している割合は87.1%にのぼります。SOCの整備には機材や施設、専門人材の確保を要するため、積極的に外部サービスを活用していることがうかがえます。

CSIRTの整備

74.6%の企業がCSIRT（Computer Security Incident Response Team）を「設置済み」「今後設置予定」、または「設置予定はないが、今後設置について検討してみたい」と積極的な回答をしています。また、「設置予定はないが、今後設置について検討してみたい」と回答している企業の割合が高いことから、今後さらにCSIRTの整備が進むことが期待されます。

体制整備の重要性は認識されている一方、サイバーセキュリティ予算については、不足しているとの回答が68.2%にのぼりました。また、規則整備や現場対応を行うサイバーセキュリティ人材については、88.8%もの企業で不足していると回答しており、この傾向は組織の規模にかかわらず、2022年の調査よりも増加しています。

また、人材に関する事項は、依然としてセキュリティ対策における大きな課題であることがわかりました。

さまざまな課題がある一方で、各社の取組みも進んでいます。

サイバーセキュリティ対策のリスクアセスメントについては、不定期での実施を含めて79.6%の企業が実施していると回答しました。また、サイバーセキュリティ対策状況の監査について、64.2%の企業が不定期を含めて監査を実施していると回答しています。

サイバー脅威動向の情報収集についても、68.0%の企業が日常業務の一環としてオープンソースから情報収集しており、「政府機関や非営利団体からの情報配信を受けている」との回答も38.5%ありました。

そのほか、サイバーセキュリティ対策の実施に関する回答から、以下のような傾向が見られました。

• 「ユーザー／エンティティの行動分析」「セキュリティ運用の自動化」など高度なサイバーセキュリティ対策を「十分できている」「ある程度できている」と回答した企業は15.0%程度にとどまる。
• 回答企業の64.7%が脆弱性診断・ペネトレーションテストを実施しており、従業員数に比例して実施している割合が高い。
• 金融業界ではすべての企業が脆弱性診断・ペネトレーションテストを実施している。
• サイバーインシデントに関する初動対応手順の整備は47.3%の企業で実施されている。
• 「標的型攻撃ランサムウェア等を想定したインシデント対応演習」は42.2%の企業で実施されているが、「レッドチーム演習」の実施はわずか5.1%にとどまる。
• インシデント対応時の外部サービス利用については、回答企業の59.3%が外部サービスを契約していない。

海外子会社に対するセキュリティ管理

海外子会社のセキュリティ対策については、「基本的には各社に委ねており必要に応じて報告・相談を受けている」という回答が34.0%、「子会社の情報セキュリティ状況を把握していない」という回答が23.5%にのぼります。しかし、海外子会社がそれぞれ場当たり的に対策を講じるのではなく、本社主導で海外子会社（拠点）のセキュリティリスクを正確に把握し、グループ全体で整合性の取れたセキュリティ施策を計画し、導入することが望まれます。

海外子会社における取組み状況の把握

回答企業の39.1%が「海外子会社の取組みを把握していない」と回答していますが、海外を含めた子会社を経由してサイバー攻撃が行われる事例も多いことから、まずは実施状況の確認の徹底を進める必要があります。

海外子会社への対策要請

海外子会社へのサイバーセキュリティ対策の要請状況は、国内におけるサイバーセキュリティ対策実施状況と同様の傾向にあります。しかし、ネットワークセキュリティ、メールセキュリティ、エンドポイントセキュリティなどの従来からある対策に比べて、「ユーザー／エンティティの行動分析」「セキュリティ運用の自動化」などの新しい領域の対策を要請・推奨する企業は、15%程度という回答結果となりました。

再発防止策の展開範囲

サイバーインシデントが発生した際の再発防止策の展開範囲は、従業員数が多いほど本社と国内外の子会社に展開されている割合が高くなる傾向が見られました。再発防止策を国内外の子会社へ幅広く展開することは、過去に経験した事象だけでなく、将来的なサイバー攻撃に対しても適切かつ迅速な対応を可能にします。組織全体のセキュリティ意識を高めるためにも、グループ全体に展開範囲を広げることが望まれます。

制御システムセキュリティレベル

制御システムセキュリティレベルの分布は、「成熟度レベル1」が43.4%で最も多く、サイバーセキュリティのプロセスは未整理で文書化されておらず、活動も整理されていない企業が多数を占める結果となりました。

2023年1月30日に公開した「（CS）² AI- KPMG 制御システムサイバーセキュリティ年次報告書 2022」における調査では、制御システム分野においては、グローバルと比較して日本ではまだ成熟度が低い傾向が見られました。詳細は下記をご参照ください。

（参考）：制御システムサイバーセキュリティ年次報告書 2022

制御システムへのサイバー攻撃実態

制御システムへのサイバー攻撃（未然に防がれたものを含む）の経路で最も多かったものは「電子メール（フィッシング）」で21.4%を占めています。一方で、「マルウェア感染したリムーバブルメディア（フラッシュメモリ、外付けハードディスク）」が減少していることから、他システムとのネットワーク接続の増加がうかがえ、ネットワーク接続での攻撃の可能性の高まりが懸念されます。

今後1年間の投資方針

制御システムセキュリティに対する今後1年間の投資方針として、最も多く投資する施策は「脅威検知」（19.9%）であり、続いて「ネットワークセグメンテーション」（13.3%）「資産管理」（12.2%）の順で多くなっています。現時点ではまだ基礎的なセキュリティ対策に投資を予定している段階と言えます。

制御システムセキュリティアセスメント

制御システムセキュリティアセスメントの実施頻度は、「年1回」（21.4%）と、「セキュリティインシデントに対応して実施している」（14.3%）の順であり、セキュリティアセスメントを実施する企業は2022年の調査と比較して増加しています。しかし、海外におけるリスクアセスメント実施状況としては年1回以上実施している企業が52.3%であるため、改善の余地が大きいと言えます。

制御システムセキュリティの教育・訓練

制御システムセキュリティの教育・訓練の実施は全体の30.7%にとどまりました。しかし、「情報システムのセキュリティ教育・訓練の一部として実施している」企業は2022年の調査時の13.1%から25.8％に増加しており、制御システムセキュリティの教育・訓練が情報システムと連携して実施されるようになっている傾向がうかがえます。

制御システムセキュリティの監視

「監視している」との回答が、2022年の調査では9.3%であったのに対して、21.4%に増加しています。制御システムに対する監視の必要性が認識され、着実に監視する傾向にあることがうかがえます。

制御システムセキュリティの対策

制御システムセキュリティの対策状況として、「ネットワークセキュリティ対策」「エンドポイントセキュリティ対策」「無線ネットワーク対策」などの対策は進んでいますが、「脆弱性管理」や「統合ログ管理」のような制御システムでは対応が難しいと考えられる領域の対策までは十分に進んでいない傾向にあります。
ただし、2022年の調査と比較すると全体的に「ある程度できている」と回答している企業数が増えていることから、セキュリティ対策が着実に進んでいる傾向にあります。

制御システムセキュリティ対策の課題　

2022年の調査と比較して、各項目の回答割合が全体的に大幅に増加していることから、制御システムセキュリティに対する取組みが進んでおり、その過程で課題が明確になってきていることがうかがえます。
依然として知見や人的リソースの問題は非常に大きいものの、対策推進にあたっての課題が明確になってきたことにより、責任範囲や予算確保といった事項が重要課題に移行している傾向にあると言えます。

AI導入計画

回答企業のうち、71.4%が「AI導入計画あり」と回答しており、多くの企業がAI導入に積極的であることがわかりました。また従業員規模が大きい企業ほどAI導入に積極的な傾向にあり、業種別では、建設・不動産、製薬・医療以外は70%を超える企業が「AI導入計画あり」と回答しています。

AI導入状況

AI導入について、「質問・問合せへのアシスト」や「データ分析」などには積極的である一方、「採用活動」「人事評価」では消極的な傾向が見られました。プライバシー情報の取扱いに十分な配慮が必要であったり、人間の判断要素が大きいと考えられている分野では、AI導入に抵抗感があることがうかがえます。

AI導入リスク

AI導入のリスクでは、「プライバシー侵害」「アウトプットの正確性」について「非常に懸念している」が30%を超え、「少し懸念している」を含めると60%強が懸念していると回答しています。一方で、「自動化による雇用の喪失」については、回答企業の合計37.2%が「あまり懸念していない」「まったく懸念していない」と回答しています。

AIリスク管理

AIリスクを管理する組織、ルール、プロセスについて、「整備済み」は4.3%にとどまりますが、「今後整備予定」が19.2%、「今後整備の必要性を検討」が41.0%と、合計60%強の企業がAIリスク管理への対応を前向きに考えており、今後整備されていくことが期待されます。

なお、業種別の回答では、通信・IT・メディア（合計80.0%）、運輸・インフラ（合計73.4%）の分野で、積極的な導入・検討が進められていることがわかりました。

※回答企業を従業員数別や業種別に分類した詳細な結果も、レポート全文では掲載しています。下記のPDFより、ぜひご覧ください。