KPMGサイバートラストインサイト2022

不確実で絶えず変化する環境のなかで、顧客や従業員、投資家は信頼できる組織を求めています。デジタルトラスト（デジタル技術の活用への信頼）を築き維持するためには、サイバーセキュリティとプライバシー保護が不可欠です。企業はデータ収集を強化し、人工知能（AI）や機械学習（ML）技術の利用を拡大し、環境・社会・ガバナンス（ESG）の課題解決に取り組んでいますが、これらに関連する規制・基準はますます厳しくなっています。

本レポートは、日本を含む世界各国の約1,900名の上級管理職を対象に、サイバーセキュリティとプライバシー保護による信頼構築と維持に果たす役割を調査しました。サイバーセキュリティサーベイの結果を基に、経営層がどの程度これらの状況や課題を認識しているか、どのように課題に取り組んでいるか、次に何をすべきかを分析しました。また、最高情報セキュリティ責任者（CISO）が果たすべき重要な役割についても述べています。

1. デジタルの進化
2. デジタルトラストの動向
3. 信頼できるコミュニティの構築
4. CISOの進化
5. ミッションの達成
6. 日本の特徴
   

企業は成長を加速させるためにデジタルツールに継続的に投資していますが、潜在的な脆弱性と評判低下のリスクにさらされるため、デジタルトラストの重要性が増しています。企業は信頼の維持に取り組むことで、潜在的な利益を顕在化することができます。

回答者は、信頼性の向上がもたらす効果として以下の項目を上位に挙げました。

• 収益性の向上
• 顧客維持率（カスタマーリテンション）
• 取引先との関係性の強化

そのほか、イノベーションの促進、従業員の定着率向上、市場シェアの拡大といった効果も期待できます。

AIやMLの利用が進むにつれ、組織のブランドと収益性に新たなリスクをもたらしています。

• 78%の回答者が「AIとMLが特別な注意を必要とするサイバーセキュリティの課題をもたらす」と回答しています。
• 大多数が「これらのテクノロジーを導入する際には解決すべき基本的な倫理的課題がある」と考えており、これらの課題への対応について「組織は一段とオープンに開示していく必要がある」と答えています。
  
  

デジタルトラストに対する社会的な関心が高まるにつれ、法律家や規制当局の関心も向上し、透明性と監視に対する要求も高まっています。

• 36％の回答者は、デジタルサービスプロバイダーに業務を委託する場合、サイバーセキュリティに関する既存または新規の規制に準拠しているかどうか懸念しています。
• 34％の回答者は、サイバーセキュリティに関連する企業報告書の開示について懸念しています。
• 31％の回答者は、英国やEU、米国で規制強化の対象となっている、重要なインフラに関する要求が高まっていることを懸念しています。

デジタルトラストはESG戦略の一部であるべきで、特に社会やガバナンスに関連する問題については、CISOが重要な役割を担っています。デジタルトラストをESGに組み込むため、ESGの担当者は、サイバーセキュリティ（多くの場合、CISO）やデータプライバシー（多くの場合、データ保護責任者（DPO））の担当者と協力する必要があります。

サイバーセキュリティの課題に対処するためには、効果的なコミュニティの構築が不可欠で、エコシステム全体への信頼確立を目指す必要があります。
ただ、リスク管理、評判、法律、戦略などに関する大きな懸念が、依然としてその目標を妨げている可能性があります。

• 44%の回答者が「より広範なエコシステムでサイバーセキュリティに関して協力することが、サイバー攻撃の予知能力向上に役立つ」と回答しています。
• 38％の回答者が「プライバシーに関する懸念が外部とのサイバーセキュリティパートナーシップの妨げになっている」と答え、36％が、自社のセキュリティ体制について開示しすぎないかためらっています。また、規制による制限、経営層のサポートの欠如、リソースの不足などの課題が挙げられます。
• 79%の回答者が「効果的なサイバーセキュリティにはサプライヤーの建設的な関与が不可欠」と述べているにもかかわらず、「その実現に向けて実際に協力している」と答えた回答者はわずか42%にすぎません。
  

CISOの役割は、デジタル変革、サイバー犯罪の増加、規制の厳格化などを背景に、過去5年間で急速に拡大しています。
一方、取締役会における認識は、「CISOを重要な幹部とみなしていない」、「CISOから提示された技術的な詳細を理解していない」といった課題があります。取締役会がCISOの活動やサイバーセキュリティに対するアプローチについて見識を改めてもらえるよう、サイバーリスクの定量化を実現し、経営層へ提示することがCISOの役割として求められています。

• 65%の回答者が「情報セキュリティはビジネスを実現するものというより、むしろリスク低減のための活動として捉えられている」と回答しています。
• 57%の回答者が「経営層は情報セキュリティの強化による信頼性の向上がもたらす競争上のメリットを十分に理解していない」と回答しています。
  

経営者は、組織とそのエコシステムに対する信頼を高めることが重要であると認識しており、CISOも自身が企業の目標を達成するための推進役を担っていることを認識しています。経営層からの強力なサポート、他部門からの協力、外部パートナーやサードパーティとの生産的な協力の下に、CISOがサイバーセキュリティとプライバシー保護を組織の信頼を強化する方法として利用することで、あらゆる競争優位性を企業にもたらすことができます。

グローバル全体と比較して、日本の取組みが進んでいた点は「リスクモデリングによるサイバーリスクの定量化と取締役会への視覚的な報告」で、グローバル全体よりも10ポイント以上高い結果でした。

CISOは、投資の必要性だけでなく、現在のサイバー攻撃のトレンドや、攻撃にさらされる要因などを取締役会で説明し、投資判断を後押しする役割を担うことが求められています。

• グローバル全体で、約半数が「取締役会は情報セキュリティを必要なコストとみなしている」と回答したのに対し、日本は43%にとどまり、特に北米（52%）との差は顕著でした。
• 「取締役会がCISOから提示された技術的な詳細を理解していない」との回答がグローバル全体では31%だったのに対し、日本では37%に達しました。

他国と比較して日本のCISO／セキュリティチームは力を発揮できていないという結果になっています。
社内外との連携に関する領域としては「サイバーセキュリティに関する教育・啓発の推進」「サイバーインシデント発生時のステークホルダー・広報対応」「規制当局との相互信頼関係の構築」が挙げられ、さらなる推進が必要な状況が明らかになりました。

CISO／セキュリティチームは、DXにおいても強固なセキュリティが確保できるよう、「セキュリティ・バイ・デザイン」の考え方に沿って、ルール・ガイドラインの整備や体制の確立に取り組み、内部関係者を支援する必要があります。

• 「サイバー攻撃からIT資産を保護するためのテクノロジーの導入」において、グローバル全体で80％、日本が73％となっており、日本では、システムの完全性を確保する取組みについて優先順位が比較的低い可能性があります。
• また、「社内パートナーの業務改革支援」についても日本とグローバル全体とで乖離がみられました。

ランサムウェア攻撃は、いまや企業単体のみにとどまりません。パートナー企業のセキュリティチーム間で最新のサイバー攻撃の事例共有を行う勉強会の開催や、CSIRT間で脅威情報・脆弱性情報を共有する仕組み作りなど、今後はサプライチェーン全体でのセキュリティ強化が一段と必要になります。

• 「サイバーセキュリティ強化のためにパートナー企業との協力／情報交換を行っている」という回答がグローバル全体で42%でした。ただ、日本企業においては30%程度と、グローバル全体を10ポイント以上下回りました。

サイバー攻撃にはトレンドがあり、それを理解するためには、自組織への攻撃だけでなく、コミュニティを通じてどのような攻撃が増加しているか、サイバー攻撃の動向をタイムリーに収集することがカギとなります。

• 日本企業では「各国政府」「サイバーセキュリティ関連のNGO」「国際機関およびフォーラム」のいずれにおいても、サイバーセキュリティ強化のための協力／ 情報交換が十分ではない結果となりました。

＜ご参考＞
本レポートに関連する参考記事を紹介します。あわせてご一読いただければ幸いです。

• KPMGグローバルテクノロジーレポート2022
• KPMGサイバーセキュリティサーベイ2022