【本記事はPwCあらた監査法人様からのプレスリリースです】
- 日本企業は、ISO27001のセキュリティフレームワークに偏重
- サイバーリスクの情報共有活動を行っている日本企業は3割程度
プライスウォーターハウスクーパース株式会社
* 本プレスリリースは、2015年11月7日にCyber3 Conference Okinawa 2015 国際会議で開催した「グローバル情報セキュリティ調査®2016(日本版)結果報告および新会社設立の記者発表会」での発表資料です。
プライスウォーターハウスクーパース株式会社(本社:東京都中央区、代表取締役:鹿島 章、鈴木 保晴)は、11月7日、「グローバル情報セキュリティ調査®2016(日本版)」の結果をCyber3 Conference Okinawa 2015 国際会議の開催に合わせて発表しました。本調査は、世界最大級のプロフェッショナルサービスネットワークであるPwCが、CIOおよびCSOとともに経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査です。
本調査の結果、世界の多くの企業は、自社がサイバー攻撃を受けることを前提にして、インシデントの検知やレスポンスを重視した最新のセキュリティフレームワークを採用しているのに対して、日本企業では平時のマネジメントシステムに重点を置いたISO27001に偏重している傾向があることが分かりました。また、脅威や脆弱性など、サイバーリスク情報の外部共有を行っている日本企業の割合は3割程度にとどまり、世界全体の半分に満たないことが明らかになりました。以下、世界全体と日本企業の結果を比較した内容をまとめています。
「グローバル情報セキュリティ調査®2016(日本版)」の主な調査結果
世界全体と日本企業の調査結果の比較
- 世界全体では最新のサイバーセキュリティフレームワークを採用しているが、日本企業はISO27001以外のフレームワークをほとんど活用していない
世界全体ではNIST(米国国立標準技術研究所)サイバーセキュリティフレームワークやSANS20クリティカルコントロール、ISFグッドプラクティス標準などがそれぞれ3割前後採用されているのに対し、日本企業はISO27001以外のフレームワークをほとんど活用していないことが分かりました【図1】。 - 日本企業ではサイバーリスク情報の外部共有が進んでいない
世界全体では、組織間の共助を目的としたサイバーリスク情報の共有や相互連携が実施されていますが、日本企業における組織間の情報共有の実施割合は、世界全体の半分以下でした【図2】。日本企業が外部組織との情報共有を行わない理由として、約4割が「情報共有の枠組みの整備、標準化ができていない」と回答しています。 - Threat Intelligence(脅威情報や脆弱性情報など)を活用している企業はインシデントによる業務停止を軽減できている
さまざまなセキュリティ対策のうち、セキュリティインシデントによる業務停止時間を短くするのに最も効果的だったのは、「脅威情報サブスクリプション(セキュリティ脅威と解析情報の定期購読サービス)」でした。SIEM(ログ相関分析システム)などのツール導入なども効果はありますが、導入している場合としていない場合との差が比較的小さいことが分かりました【図3】。
回答結果に基づき、当社が考える日本企業への示唆
- 自社に適したフレームワークを柔軟に活用
日本企業が採用するセキュリティフレームワークは、平時のマネジメントシステム(ISMS)を重視したISO27000シリーズに偏重する傾向があります。しかし、昨今の洗練されたサイバー攻撃を考慮すると、インシデントが起こる前提に立った態勢を構築することが必要です。今後、日本企業はサイバーレジリエンス強化のため、自社のビジネス特性に合わせて、必要に応じて複数のフレームワークを組み合わせ、セキュリティ戦略の策定、ガバナンス態勢の強化、プロセス構築、技術的対策の適用を進める必要があると当社は考えています。 - 外部組織との情報共有
サイバーリスクに関する情報を外部組織と共有している企業は、実用的な情報が得られたとしてメリットを感じています。しかし、情報共有を行っている日本企業の割合は、世界全体の半数未満にとどまっているのが現状です。日本企業のセキュリティ向上のためには、ISAC(情報共有分析機関)のような業界横断的なプラットフォームや規則を整え、さらに企業内の情報共有を効果的なものとするための態勢を整備する必要があると考えます。 - 積極的なThreat Intelligence(脅威情報や脆弱性情報等)の活用
自社に影響のある最新のThreat Intelligenceを厳選して収集し、自社の対応態勢構築や防御に活用することで、インシデントの影響を最小化できるメリットがあります。有償もしくは無償の情報提供サービスによって入手したThreat Intelligenceによって、過去や現在のサイバー攻撃の状況を定期的に分析し、将来のサイバー攻撃を予測することで、プロアクティブなインシデント対応態勢の構築が可能となると考えています。
グローバルの主な調査結果
グローバルの主な調査結果はhttp://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.htmlで公開しています。
- セキュリティリーダーのレポート先と求められる能力
CISO(最高情報セキュリティ責任者)などのセキュリティリーダーのレポート先として、CEO(36%)、CIO(25%)、取締役会(23%)が、回答の上位を占めています。また、セキュリティリーダーには、役員・取締役とのコミュニケーション能力や経営リスクとしての管理能力などの能力が求められています。 - IoT・制御システムを狙った攻撃が激増
IoT機器・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、昨年と比較して激増しています。回答企業の66%がIoTに関するセキュリティ戦略を策定済みもしくは整備中です。 - 59%の企業がサイバーセキュリティ保険に加入
回答企業の59%がサイバーセキュリティ保険に加入しており、年々加入率が増加しています。一方、今後インシデント被害がますます増加すると保険料高騰の可能性も考えられます。
【図1】採用されているセキュリティフレームワークの種類
Q:あなたの組織・企業では、どのようなセキュリティフレームワークを採用していますか
【図2】情報共有に積極的でない日本企業
Q:他の組織とサイバーリスクに関する情報共有を行っていますか
【図3】脅威情報サブスクリプション(Threat Intelligence)の効果
Q:過去1年間で、セキュリティ関連インシデントのために合計何時間のダウンタイム(サービス/アプリケーション/ネットワークが利用できなくなる状態)が発生しましたか
「グローバル情報セキュリティ調査®2016」調査概要
調査主体: | PwC、CIO Magazine、CSO Magazine |
調査期間: | 2015年5月7日~2015年6月12日 |
調査方法: | オンライン調査 |
調査対象: | 10,040人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、 最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、 ITおよび情報セキュリティ役員。うち日本の回答は286人。 |
調査地域: | 127カ国(北アメリカ37%、ヨーロッパ30%、アジア16%、南アメリカ14%、中東および南アフリカ3%) |
*グローバル情報セキュリティ調査®は、International Data Group, Inc.の登録商標です。
以上
- プライスウォーターハウスクーパース株式会社について
- プライスウォーターハウスクーパース株式会社は、ディールアドバイザリーとコンサルティングを提供する国内最大規模のコンサルティングファームです。M&Aや事業再生・再編の専門家であるディールアドバイザリー部門と経営戦略の策定から実行まで総合的に取り組むコンサルティング部門が連携し、クライアントにとって最適なソリューションを提供しています。世界157カ国、208,000人以上のスタッフを有するPwCのネットワークを活かし、国内約1,700名のプロフェッショナルが企業の経営課題の解決を支援しています。
PwCについてPwCは、社会における信頼を築き、重要な課題を解決することをPurpose(存在意義)としています。 私たちは、世界157カ国に及ぶグローバルネットワークに208,000人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスを提供しています。 詳細はwww.pwc.comをご覧ください。