<コラム>KPMGコンサルティングが国内企業対象に調査
 KPMGコンサルティングのサイバーセキュリティーアドバイザリーは2017年4月~5月にかけて、国内企業(上場企業および売上高500億円以上の未上場企業)を対象とした、サイバーセキュリティーに関する調査を実施し、「サイバーセキュリティサーベイ2017」として報告書をまとめた。調査結果から見えてきたサイバーセキュリティーへの対応の実態と課題について、概要を紹介する。
グラフ_不正侵入被害の有無

◆被害の実態と対策の実情
 ◇業務上の問題発生、3割で/定期的訓練、過半ができず
 過去1年間に、実被害の有無を問わずサイバー攻撃による不正な侵入を受けた痕跡が見つかった企業は全体の27.4%で、およそ4社に1社の割合。国内外で猛威を振るうランサムウェアでも、22.3%の企業に業務上の被害が発生しており、金銭詐取や顧客への補償、対応人件費・機会損失費用など、過去1年間の合計損失額を「わからない」と回答した企業はおよそ2割となっている。被害の内容では具体的に「自社の業務やシステムが著しく遅延・中断」が31.4%、「自社に経済的な損失が発生した」が12.8%だった。
 不正侵入に気付いたきっかけは、社員からの通報が30.4%、次いで情報セキュリティー部門の監視(29.6%)、委託先ベンダーからの通報(20.8%)。
 攻撃に対する定期的・実践的な演習や訓練を行っているかという問いに対しては「あまりできていない」「まったくできていない」の合計が半数を超える54.8%を占めた。またサイバーセキュリティー保険への加入状況については、「加入予定はない」が47.9%と最も多く、加入済み、および加入検討中の合計23.9%を大きく上回っている。
 サイバー攻撃などのインシデントに対応する組織「CSIRT(Computer Security Incident Response Team)」を設置済みの企業は全体の2割弱にとどまり、設置予定がない企業は4割に達する。既に設置済みの企業を業種別にみると、金融が33.0%、製造が16.3%、流通が7.9%となっている。
◆ITの枠を超えた課題へ
 ◇CSR,BCP上も考慮を/対策のあるべき姿、必要に
 セキュリティー対策は単なるITリスク対策にとどまらず、事業継続や法的責任など、企業経営全般にわたって行われる必要がある。調査では「CSR(企業の社会的責任)」「BCP(事業継続計画)」「被害の予防・軽減策」「クライシスコミュニケーション」の4つの視点から、対策の課題を整理した。
 CSRについては、8割の企業で外部への説明責任や攻撃による社会への影響を考慮できていないという結果になった。「善管注意義務違反、株主代表訴訟などの法的リスクを考慮した対策」については「どちらともいえない」「あまりできていない」「全くできていない」の合計が77.1%に上った。
 BCPについては、サイバー攻撃を受けると被害の拡大を食い止めるためにインターネット接続を遮断する必要があるが、「ネット接続を数日間遮断した場合の事業上の影響範囲や損害規模の把握」について、対策が未整備という認識を示した企業が7割を超えている。また、被害の予防・軽減策については3社に2社の割合で、定期的な監査と報告に基づく改善活動が行えていないという結果が出た。
 このほか、クライシスコミュニケーションでは、インシデント発生時に関係者に迅速に情報を伝える必要があるが、委託先ITベンダーとの連携手順こそ6割弱の企業が整えているものの、顧客や取引先の連絡手順は58%が十分にできていないと回答。メディアへの連絡・広報手順については66%が対応が十分にできていないとの認識を示している。
 KPMGコンサルティングでは、調査結果を基に、サイバーセキュリティー経営を実践するためには「CISO(最高情報セキュリティー責任者)により経営層と情報セキュリティー部門を連携させる」「セキュリティー対策の『あるべき姿』を描く」「経営資源を適切に配分する~予算と人材」などを戦略分野として提言している。
◆調査の概要
 ・国内上場企業および売上高500億円以上の未上場企業の情報セキュリティー責任者に対し、郵送によりアンケート票を送付
 ・発送数6159件、有効回答数457件(回収率7.4%)
 ・回答企業の属性は製造(29.5%)、流通(19.5%)、金融(21.2%)、建設・不動産(8.1%)、運輸・社会インフラ(4.6%)など。
 ・売上高レベルでみた場合、回答者の半数近くが500億円未満で、全体の8割を売上高3000億円未満が占める。
 ・調査実施期間は2017年4月17日~5月15日

1 2 3 4 5 次へ »