日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと：「もうIT部門だけの課題でないと知るべき」PwCが提言（3/4 ページ）

日本企業は「役員クラスの情報セキュリティリーダーを置くべきだ」。サイバーセキュリティに関する世界規模のオンライン調査で、日本企業、特に経営層のセキュリティ意識が水準以下であることが分かった。経営層とIT部門は今後、何を考えるべきか、PwCが提言した。

[岩城俊介，ITmedia]

セキュリティ対策、「水準以下にある」日本企業の現状

　日本でも、企業や政府機関に対するインシデント件数が激増し、ネットバンキング不正送金による金銭被害、サイバー犯罪による検挙件数も当然増えている。JPCERTコーディネーションセンター調べによるインシデント報告件数は46％増（2013年度前年比）、警視庁調べによるネットバンキング不正送金被害は約18.5億円、2013年下期比で55％増（2014年度上期結果）だった。「サイバー空間における“脅威”の概念は、質、量ともにひと昔前とはまったく違うものになった」（PwCの山本氏）

　そんな状況ながら、日本企業のセキュリティ投資額は年間平均で約2.1億円。これは世界全体の年間平均約4.2億円の半分であることが分かった。今後1年間のセキュリティ投資を増加すると回答した日本企業の割合は2013年比で8ポイント増え、投資意欲は高まっている。ただ、「まだまだ、新しい対策を検討、実施するためのリソースが十分に割り当てられていない状況と考えられる」（PwCの山本氏）ようだ。

2013年の情報セキュリティ予算平均投資額　日本とグローバルの差

セキュリティインシデントの原因は何か　日本とグローバルの差

　日本企業の大きな課題は、まずインシデントの発生要因を「把握できていない」ことだとPwCの山本氏。セキュリティインシデントは内部犯行が大半、つまり現行の従業員や退職者、委託業者により発生している。ただ、日本企業へ問うと「要因が分からない」とする率が4割を超えていた。大半は内部犯行と推定されるが、それより原因を究明できない状態にあることを対策できていない意識の低さが危険という。原因が分からなければ、根本的な対策をとれず、説明責任も果たせない。日本企業はこの対策のための従業員教育こそ積極的。ただ、委託先の管理対策が遅れている傾向も分かった。

　「セキュリティ投資を、単に“支出”とみなす経営者は考えを正すべき。サイバー空間における脅威の概念は根本的に変わった。企業はこれまでの対策を見直し、定期的な効果測定を実施する必要がある。また、委託先とはなれ合いの関係を脱し、情報の取り扱いに関する具体的な方法やセキュリティ対策などを“契約”で示し、その実体を確認するための監査を行うことが必要だ」（PwCの山本氏）

セキュリティ対策の考え方を根本から変えるべきとPwCの山本氏