日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと：「もうIT部門だけの課題でないと知るべき」PwCが提言（2/4 ページ）

日本企業は「役員クラスの情報セキュリティリーダーを置くべきだ」。サイバーセキュリティに関する世界規模のオンライン調査で、日本企業、特に経営層のセキュリティ意識が水準以下であることが分かった。経営層とIT部門は今後、何を考えるべきか、PwCが提言した。

[岩城俊介，ITmedia]

セキュリティインシデントの最大の要因は「内部犯行」

　世界全体のインシデント件数、被害額は年々増加している。2014年の調査ではインシデント件数が平均4948件、被害額は平均2.1億円。それぞれ前年比で32％、同34％増となった。これらは内部犯行と外部からのサイバー攻撃の両面が要因となり、増加した。また、狙う価値の高い情報資産を有する可能性が高い大企業ほど狙われやすい傾向もより浮き彫りになった。被害は中堅企業と比べ、インシデント件数で約3.1倍、被害額で約4.5倍に及ぶ。もちろん、まずはセキュリティ意識が甘い中小企業へ侵入し、時間をかけて大企業への踏み台にという流れも出ている。企業の大小は関係ない。

年々増える、グローバルでのセキュリティインシデント平均件数と平均被害額

　一方、被害の増加に対し、情報セキュリティ投資額は2013年比4％減の年間平均4.2億円となった。航空宇宙・防衛業界やテクノロジー業界、自動車業界など、知的財産や顧客情報など、金銭的価値の高い情報資産を有する業種は、一足先、2012年から2013年にかけて標的型攻撃の対策のためセキュリティ投資を大幅に増やしたことに由来すると考えられる。ただ、その後もサイバー攻撃は増えているが、それ以上の効果的な対策を見いだせていない。つまり、日々進化するサイバー攻撃に対し、一時的な支出で解決するものでないことを示している。

　なお、セキュリティインシデントの最大の要因は「内部犯行」でもある。委託先の社員がスマホをつないで情報を持ち出し、大規模な情報漏えい事件につながったベネッセの例はまだ記憶に新しい。要因の35％が現行の従業員、30％が退職者、18％が委託業者だった。

セキュリティインシデントの要因は、多くが内部犯行となる

　「内部犯行を抑止、検知するには、けん制する仕組みにより犯行自体をとどまらせること、モニタリングにより犯行を迅速に検知し、対策をとることが必要。企業として、顧客や投資家、取引先など、外部のステークスホルダーに対して説明責任を果たせるレベルであることが“最低限のライン”である」（PwCの山本氏）

　以上がグローバルでの傾向だ。では、「水準以下にある」という日本企業の現状はどうか。