自社のサイバーセキュリティについて「最高の成熟度」と回答した企業は7%にとどまり、60%が組織に必要なサイバーセキュリティのスキルをもつ人材の確保に苦労している―サイバーセキュリティをめぐる日本企業のこんな実情が、ソフォスとTech Research Asiaの調査で明らかになりました。
「2020年に被害を受けた」42%
イギリスを拠点とするサイバーセキュリティ企業のソフォスはこのほど「日本およびアジア太平洋地域におけるサイバーセキュリティの展望」と題した報告書を発表しました。2019年の第1版に続く第2版となるもので、リサーチやコンサルティングを手がけるTech Research Asiaとの共同調査の結果をまとめたものです。調査は2020年12月から2021年1月の間に日本をはじめオーストラリア、インド、マレーシア、フィリピン、シンガポールの従業員150人以上の企業、計900社を対象にITやサイバーセキュリティ部門のエグゼクティブや意思決定者を対象に行ったものです。
同報告書によると、過去12カ月間にサイバーセキュリティ攻撃の被害者になったと回答した日本企業は42%にのぼりました。これは、オーストラリア(52%)やインド(52%)、マレーシア(44%)よりは低く、フィリピン(31%)やシンガポール(28%)より高い割合です。また、日本企業の18%がサイバーセキュリティに関して「計画なし」または「限定的」と回答し、「最高の成熟度」と回答した企業は7%にとどまりました。一方、「最高の成熟度」との回答がもっとも多かったのはフィリピンの企業で30%にのぼり、また、オーストラリアの企業は61%がプロアクティブなまたは高度なセキュリティ機能を導入していると回答、インドにおいても3分の2がサイバーセキュリティにプロアクティブな機能をもたせていると回答しているとのことです。この辺はインドやオーストラリアがサイバー攻撃の被害を多く受けている実態があることや回答者の意識も反映した結果のように思われます。
日本企業の60%が「組織に必要なサイバーセキュリティのスキルをもつ人材の確保に苦労している」と回答し、サイバーセキュリティ人材が大きな課題になっていることを伺わせます。同様の回答はオーストラリア(63%)、インド(60%)、マレーシア(54%)、フィリピン(44%)、シンガポール(61%)といずれも高い割合となっており、人材確保の問題は日本にとどまらずアジアの各企業においても同じ状況のようです。「セキュリティ関連のプロバイダーがセールスで犯しがちな主な間違いはなんですか?」との問いに、日本企業の72%が「自社の問題を理解していない」と回答しており、企業のIT担当者の多くはサイバーセキュリティ関連のセールスに不満を持っているようです。その他、「今後24カ月間に自社のセキュリティに影響すると考えるテクノロジーや問題」について日本企業から多かった回答は、「人工知能と機械学習」「パブリッククラウドコンピューティング」「IoTデバイス」だったということです。
経営幹部「インシデントは誇張されている」
2019年の報告書では、サイバー攻撃を受けたと回答した企業の割合は全体で32%でしたが、今回の調査では56%にまで上昇しアジア太平洋地域でサイバー攻撃が増加している状況です。また、今回調査をした企業の69%が「新型コロナウィルスの感染拡大がサイバーセキュリティの戦略やツールをアップグレードする最大のきっかけになった」と回答、新型コロナウィルスの感染拡大がサイバーセキュリティにはプラスに作用している状況だといえそうです。一方で、報告書は「働く場所が大きく変わり、デジタルトランスフォーメーションが加速しましたが、2019年にすでに表面化していたセキュリティの成熟度、教育、人材確保といった課題は解消されていない」としています。
今回の報告書で興味深く感じたのは、「調査で浮き彫りになったのは、サイバーセキュリティインシデントは誇張されていると考えている経営幹部の誤った姿勢です」とソフォスが見解を表明していることです。「2020年末に、グローバルなサプライチェーン攻撃によって大きな影響を受けた組織が多くあったにもかかわらず、このような姿勢が蔓延していることに困惑している」とも記しています。サイバーセキュリティのリスクを大げさに考えすぎと主張する経営幹部を説得するには、高度なスキルと知識をもつ人材に加え信頼を得ることが極めて重要だとし、「さほど深刻ではない」と考えるのは大きなリスクであると粘り強く説明するように求めています。企業経営層との意識のギャップが大きな課題だと言えそうです。