サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

サイバーセキュリティ対策の重要性が高まりつつあるが、それでも、対策にかけたコストに見合う成果が得られるのか、セキュリティ事故はそうそう起きないのではないか、といったマインドの経営者はまだまだ存在する。どのように対策を進めればいいのだろうか。

[高橋睦美，ITmedia]

　サイバーセキュリティ対策の重要性が高まりつつあるが、それでも「果たして対策にかけたコストに見合う成果が得られるのか」「そもそもセキュリティ事故はそうそう起きないのではないか」といったマインドを持つ経営者はまだまだ存在する。

　こうした状況を変えるために活動している一般社団法人サイバーセキュリティ連盟代表理事の小池敏弘氏が「2つの調査から見るサイバーセキュリティの『リアル』と『取り組むべきこと』」と題して基調講演を行った。

業種による差が明白な、日本企業のサイバー防御力

一般社団法人サイバーセキュリティ連盟代表理事 小池敏弘氏

　サイバーセキュリティ連盟は、日本全体におけるサイバーセキュリティの底上げを目的に2022年に任意団体として前身の「セキュリティ連盟」を発足し、2023年3月に一般社団法人となった。その目的に賛同して加盟した多くの企業や関連組織とともに、セキュリティ意識の底上げに取り組んでいる。

　同連盟は活動の一環として、2つの調査を行った。

　1つは「サイバー防御力ランキング」だ。会社として最低限必要だと考えられる基本的な対策、14項目を列挙したチェックリストを用意し、どれだけ「イエス」と答えられるかを業種ごとに調査した。

　この結果「いわゆるIT系の企業やメディア、そして資産や機密情報を多く預かる金融・保険業は一定水準のサイバー防御力があるという調査結果が出ました。一方、濃淡はあるものの、その他の業種ではまだまだ満点には至らない結果となりました」（小池氏）

　さらに、サイバー防御力が不十分とされる業種では、従業員の2人に1人が「自社のサイバーセキュリティ意識に問題がある」と回答していた。サイバーセキュリティに関する研修・教育を受ける機会がなかったり、そもそもセキュリティ意識が低かったりする会社の雰囲気があるという。

　小池氏はまた、本来ならば同時に推進するべきデジタルトランスフォーメーション（DX）とサイバーセキュリティの関係についても、ギャップの存在が明らかになったと説明した。IT系や金融系では、DXへの取り組みとサイバーセキュリティ対策が両輪で推進されているが、卸売、小売、運輸、不動産といった業種では、DXが推進され、浸透している一方で、サイバーセキュリティ対策はまだ一定水準に達していないという。

　「このギャップは将来に向けたリスクとなる恐れがあります。さまざまな投資によって外部とつながる状態が拡大すると、ひとたびサイバー攻撃を受けた場合、被害が甚大化する恐れがあるため、積極的に、早急に対策に取り組むべきです」（小池氏）

「サイバー防御力」とDX積極度とは一定の相関関係がある

DXだけが先行している業種はサイバー攻撃に要注意

背景に横たわる、サイバーセキュリティマインドの低さ

　サイバーセキュリティ連盟はこの調査結果を受けて「なぜ、業種によってサイバー防御力にばらつきがあるのか」を探るため、意識、つまり「サイバーセキュリティマインド」に関するもう1つの調査を実施した。この結果、サイバーセキュリティマインドの低さがサイバー防御力を左右していることが判明したという。

　2つ目の調査ではまず「サイバーセキュリティ強化の必要性を感じているかどうか」を尋ねた。すると一般社員クラスでは、半数以上が「強化しなくてもいい」と回答した。さらに「自社でサイバー攻撃対策を実施しているか」を尋ねたところ、やはり一般社員の半数以上が、そもそも「対策をしているか、していないか分からない」と回答した。

「この結果に頷く人もいれば、驚く人もいるでしょう。ただ少なくとも、こうした結果が事実として出てきています」（小池氏）

「サイバーセキュリティ強化」の必要性を感じているか？

「サイバー攻撃対策」は実施しているか？

　では、なぜサイバー攻撃対策を実施しないのだろうか。理由を尋ねたところ、経営者層と一般社員とでは異なる背景が浮上してきた。