本調査からは、回答企業の3社に1社がサイバー攻撃を受けており、攻撃を受けた企業の8割はサイバーセキュリティ部門、社員、委託先ベンダーの内部からの通報により攻撃を認識できていることが明らかになりました。企業によるサイバーセキュリティ対策への投資額については、回答企業のうち38.0%が増加しているものの、65.0%の企業が自社のサイバーセキュリティ投資額が不足していると回答しています。
セキュリティ対策における企業の課題としては、回答企業の59.9%が「セキュリティ人材の不足」を挙げており、最も多くの企業の課題となっています。さらに、「投資対効果が分からない(48.0%)」「どれだけ投資すべきか分からない(45.0%)」といったセキュリティ投資に関する課題が上位に挙げられたことから、巧妙化するサイバー攻撃への対策に企業が悩んでいる実態が伺えます。
「KPMGサイバーセキュリティサーベイ2018」の主な調査結果
- 回答企業の31.3%が、過去1年間でサイバー攻撃あるいは不正侵入があったと回答(図1)
図1 不正侵入の痕跡を発見
- 不正侵入に気づいたきっかけは、「サイバーセキュリティ部門による監視(31.4%)」、「社員からの通報(31.4%)」、「委託先ITベンダーからの通報(24.8%)」。8割以上が自組織内で不正侵入を検出できている(図2)
図2 不正侵入に気付いたきっかけ
- サイバーセキュリティ対策への投資額については、38.0%が増加と回答している。しかし、投資額に対しては「大いに不足している(13.0%)」、「やや不足している(52.0%)」とも回答しており、投資額が適切であるとの評価は3割程度に留まる(図3)
図3 現状のサイバーセキュリティ対策への投資額
- CSIRT(Computer Security Incident Response Team、シーサート)の設置に関しては、「設置済み(27.4%)」と「今後の設置予定(7.3%)」を合わせても3割程度に留まる(図4)
図4 CSIRT設置の現状
- 「サイバーセキュリティ経営ガイドライン Ver 2.0」で言及されている事件発生時の経営報告・広報などの組織対応の実践的な演習については「十分にできている(4.0%)」、「ある程度できている(25.9%)」を合わせて3割弱に留まる(図5)
図5 インシデント発生に備えた訓練や演習の実施
- サイバーセキュリティ対策に取り組むうえでの課題として、「知見のある実務担当者が足りない」が59.9%と半数以上が回答。セキュリティ人材の不足が最も大きな課題としてとらえられている(図6)
- 「投資対効果がわからない(48.0%)」、「どれだけ投資すべきかわからない(45.0%)」と投資に関する課題も上位に(図6)
図6 サイバーセキュリティ対策に取り組むうえでの課題(複数選択)
「KPMGサイバーセキュリティサーベイ2018」調査概要
| 調査期間 | 2018年4月1日~5月22日 |
|---|---|
| 調査方法 | 株式会社ラックの協力のもと、郵送によるアンケート票の送付・回収、Webによるアンケートの回収 |
| 調査対象 | 国内上場企業、および売上高400億円以上の未上場企業 |
| 有効回答数 | 329件 |
KPMGコンサルティングについて
KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、BPR、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクター等のインダストリーに対し、幅広いコンサルティングサービスを提供しています。
関連リンク
サイバーセキュリティサーベイ2018(本件のレポート紹介ページ)