日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと:「もうIT部門だけの課題でないと知るべき」PwCが提言(4/4 ページ)
日本企業は「役員クラスの情報セキュリティリーダーを置くべきだ」。サイバーセキュリティに関する世界規模のオンライン調査で、日本企業、特に経営層のセキュリティ意識が水準以下であることが分かった。経営層とIT部門は今後、何を考えるべきか、PwCが提言した。
日本企業の経営者が、情報セキュリティ対策で早急に取り組むべきこと
では企業は何を考えるべきか。リスクが高い内部関係者は、端的に述べると「情報に対するアクセス権限」を持っており、かつ「組織への忠誠心が低い」人物である。
「原因は分かりませんでした──では、企業の社会的責任は果たせない。日本企業の多くは、在籍中の従業員のみを内部関係者と定義している。それは違う。退職者、委託先、以前の委託業者なども内部関係者として認識し、それらが不正を働くことを想定した対策を講じなければならない」(PwCの山本氏)
なにより日本企業の経営者が「セキュリティ対策を、経営の課題と認識していない」のが大きな問題と位置付ける。経営者はサイバー攻撃を自社の重大リスクとし、グローバルの3分の2の企業にはすでに役員クラスの情報セキュリティ担当リーダーがいる。対して日本企業は、いまだにこの対策はIT部門の課題と考えている。そんな意識の格差が明らかになった。
リーダーがいない企業、セキュリティ対策をIT部門が主導し、運営する企業は、技術的に攻撃を防ぐ「防御」に注力する傾向がある。当然、これは重要だ。ただ、リーダーがいる企業は、事故が起こることを想定し、インシデント発生時にも迅速な対応がとれるよう、ビジネスの責任者として準備する。結果として、バランスのよいセキュリティ対策の投資にもつながる。経営トップが意識しなければこういった対策はできないと説く。
それには「まず役員クラスのリーダーを任命すべき。その意識へ早急に変えるべきだ」(PwCの山本氏)と提言する。
- CEOに直接意見ができ、部門間の利害関係を超越して、横断的にリーダーシップを発揮できる
- 社外から最新の情報を入手できる人脈や情報網を持っている
- リスク感度が高く、どんな状況でも迅速勝つ冷静に意思決定ができる
- 必ずしも、技術の専門家である必要はない
という人物を役員クラスのリーダー据えるのが望ましいという。
インターネットによる調査で、154カ国(北アメリカ35%、ヨーロッパ34%、アジア14%、南アメリカ13%、中東および南アフリカ4%)、9700人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、ITおよび情報セキュリティ役員が回答。うち日本の回答は219人。調査期間は2014年3月27日から5月25日まで。同社「サイバーセキュリティセンター」で、同調査で収集したデータをもとにクライアント企業に特化したセキュリティ対策のベンチマーク調査サービスも提供する。
関連キーワード
情報セキュリティ | プライスウォーターハウスクーパース | セキュリティ対策 | 情報システム部門 | サイバー攻撃 | 情報漏洩 | SEC(米証券取引委員会) | セキュリティ意識 | セキュリティ管理
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
4割の企業がシステム障害を経験、想定リスクの優先度は低い――PwCが調査
プライスウォーターハウスクーパースが調査した日本企業のBCPの状況によれば、自然災害を想定する企業は多いものの、システム障害やサイバー犯罪は低い状況だった。
一から学ぶタレントマネジメント戦略:【第2回】タレントマネジメントシステムの構築
今回は、どうやってタレントマネジメントシステムを作ればいいのか、それに対する考え方や心構えをお伝えします。
企業のBCP対策は進んだか
東日本大震災から2年余り。企業にとっては、事業やITの継続性に対する取り組みが問われた期間でもある。最近発表された2つの調査から、その実態を探ってみる。
世界のCEOが選んだ尊敬するリーダー像
世界のCEOが最も尊敬するリーダーは誰か? PwCが先頃こんな調査結果をまとめた。そこから見えてきたリーダー像とは。