KPMGサイバーセキュリティサーベイ2017

Transcription

1 サイバーセキュリティサーベイ

2 はじめに 全世界的に被害を及ぼす 大規模なサイバー攻撃が数多く報告されています これらのサイバー攻撃の中には 重要インフラに対するものも含まれ 経済活動に大きな被害を与えています IoT(Internet of Things) の拡大により 現代社会はインターネットへの依存度を高めています この来たるべきIoT 社会を安心 安全に迎えるために サイバーセキュリティの重要度は一層高まっています 日本でも 2015 年 12 月に サイバーセキュリティ経営ガイドライン が経済産業省より公開されました 同ガイドラインでは 企業はサイバーセキュリティの確保を経営課題として位置づけ CISO ( 最高情報セキュリティ責任者 ) を中心とした管理体制を構築することが求められています 本サーベイは CISOまたは情報セキュリティ責任者を中心とした サイバーセキュリティ経営 の推進の実態を明らかにすることを目的として実施しました 多くの企業が サイバーセキュリティ経営 を推進している一方で 課題も明らかとなってきました サイバー攻撃がピークとな ると見込まれる2020 年の東京オリンピック パラリンピックに向け それほど時間は残されていません サイバーセキュリティの推進は より一層 経営者がリーダーシップをとって進めていかなければなりません KPMGサイバーセキュリティアドバイザリーは サイバーセキュリティに関する問題解決の支援に留まらず 有益な情報を広く社会に提供することも自らの重要な役割であると考えています 本サーベイが 少しでも皆様のお役に立つことができれば幸いです 最後になりましたが 今回のサイバーセキュリティサーベイ実施にあたり ご回答いただきました多くの皆様に心から御礼を申し上げます 2017 年 6 月 KPMGコンサルティングサイバーセキュリティアドバイザリーグループパートナー田口篤 目次 エグゼクティブサマリー 調査概要 p.3 実態セキュリティ被害の実態と対策の実情 p.4 課題 情報セキュリティは IT による対策の域を超えていない p.8 戦略サイバーセキュリティ経営を実践するために p.12 2

3 エグゼクティブサマリー セキュリティ被害の実態と対策の実情 情報セキュリティは IT による対策の域を超えていない サイバーセキュリティ経営を実践するために 企業の4 社に1 社は過去 1 年間に不正な侵入を受けています しかし 進化を続けるサイバー攻撃の脅威に対して継続的に対策を更新するとともに 緊急時の即応体制を訓練するなど 実効性のある対策と態勢を整えてある企業は 全体の2~3 割程度しかありません 企業の情報セキュリティ対策は 事業の継続や訴訟リスクへの配慮が不足している懸念があります サイバー攻撃が発生した際には 技術面の対応に追われ 経営を揺るがす問題に発展するのをくい止められないかもしれません 経営層とセキュリティ担当部門の連携をより一層強化し マネジメント テクノロジー オペレーションの機能を高度化させる必要があります サイバーセキュリティリスクを適切に管理するためには まず経営層が対策の現状を的確に理解できていなければなりません そのためには 経営層に CISO( 最高情報セキュリティ責任者 ) を置き トップダウンでセキュリティの推進を主導する必要があります 同時に セキュリティ部門の強化や全社員の意識向上など 全社の体制整備も欠かせません 調査概要 回答企業の属性 名称対象 : : 企業のサイバーセキュリティに関する調査国内上場企業 および売上高 500 億円以上の未上場企業の情報セキュリティ責任者 業種 グラフの数値は % 製造 流通金融 建設 不動産運輸 通信 社会インフラ旅行 レジャー 飲食 学校 病院その他無回答 調査期間調査方法 : : 2017 年 4 月 17 日 ~5 月 15 日郵送によるアンケート票の送付 回収 従業員数 ( 連結 ) ~499 人 500~999 人 1000~2999 人 3000~4999 人 5000~9999 人 1 万人以上 無回答 発送数 : 有効回答数 : 6159 件 457 件 ( 回収率 7.4%) 売上高 (2016 年度連結 ) 億円未満 3000 億 ~5000 億円未満 500 億 ~1000 億円未満 5000 億 ~1 兆円未満 1000 億 ~3000 億円未満 1 兆円以上 無回答 3

4 実態 セキュリティ被害の 実態と対策の実情 サイバー攻撃による業務被害は企業の 3 割で発生 不正侵入の痕跡の有無 3 割弱の企業が痕跡を発見 あった 27.4% なかった 61.3% わからない 10.3% 無回答 1.1% 不正侵入に気づいたきっかけ社員からの通報が最多 社員からの通報 情報セキュリティ部門の監視 委託先 IT ベンダーからの通報 外部の公的機関からの通報 顧客や取引先からの通報 無回答 30.4% 29.6% 20.8% 8.8% 5.6% 4.8% n=125 過去 1 年間に実被害の有無を問わず サイバー攻撃による不正な侵入を受けた痕跡が見つかった企業は27.4% およそ 4 社に1 社に上ります 国内外で猛威を振るうランサムウェアでも 22.3% の企業に業務上の被害が発生 金銭詐取や顧客への補償 対応人件費 機会損失費用など 過去 1 年間の合計損失額をわからないと回答した企業は2 割でした セキュリティ上の脅威は 企業経営にとって 想定上のリスクではなく 現実のリスクです 4 業務上の被害の有無ランサムウェアでは 2 割の企業に業務上の被害が発生 ランサムウェア その他のマルウェア 標的型攻撃 DDoS( サービス妨害 ) 攻撃 不正送金などを指示するビジネスメール詐欺 サービスへの不正ログインや情報窃取 フィッシング サイトの改ざん ソーシャル エンジニアリング IoT 機器に対する攻撃 制御機器に対する攻撃 その他 過去 1 年間の合計損失額 分からない 21.2% n= % 16.8% 7.9% 6.6% 6.1% 4.2% 2.8% 2.4% 1.1% 0.2% 0.0% 0.9% あったなかったわからない無回答 100 万 ~1000 万円未満 警察への届け出ランサムウェア被害で届け出たのは2% 2% 過去 1 年間の被害内容 自社の業務やシステムが著しく遅延 中断した 自社に経済的な損失が発生した システムが踏み台として第三者への攻撃に使われた 顧客や取引先に経済的な損失が発生した 顧客や取引先の個人情報が漏えいした 社員の個人情報が漏えいした自社の評判が傷ついた 自社の機密情報が漏えいした 顧客や取引先に間違った情報を提供し混乱させた 顧客や取引先の機密情報が漏えいした 1000 万 ~1 億円未満 13.5% 1.3% 31.4% 12.8% 7.1% 4.5% 3.8% 1.9% 1.3% 0.6% 0.6% 0.6% n=102

5 対策の実効性を高める取組みが不十分 最新情報を自社の対策に取り込む 34.1% 重要情報を暗号化して保存する 振る舞い検知の仕組みの導入 通信ログの収集 保存と定期的な分析 管理者用の ID パスワードを初期値から変更 ネットワークのセグメント化 端末ログの収集 監視 保存 十分できているある程度できているどちらとも言えないあまりできていないまったくできていない 不正侵入等を前提とした技術的対策の実施状況 顧客などの個人情報を公開サーバーに蓄積しない 重要情報を適時にバックアップして保管する システム / データへのアクセス権限を適切に設定する 退職者などの不要になったアカウントの削除 30.6% 33.5% 44.2% 54.0% 55.1% 58.4% 58.6% 65.6% 81.6% 86.0% n=455 攻撃時の初動対応マニュアルを整備する 36.6% 対応計画やマニュアルの対象範囲 自社のみ自社とグループ企業全体自社とグループ企業に加え 取引先や委託先まで分からない対応計画やマニュアルはない無回答 十分できているある程度できているどちらとも言えないあまりできていないまったくできていない 計画 マニュアルがない企業 21% n=456 セキュリティ上の脅威が現実のリスクとなりつつある中 不正侵入等を前提とした技術的対策と 攻撃時の初動対応マニュアルの整備や演習 訓練ができている企業は 全体の2~3 割に留まります また サイバーセキュリティ保険への加入については 検討中の企業も含めて調査企業の4 分の1に留まりました しかし 昨今の大規模なサイバー攻撃による被害の増加により 侵入されることを前提とした対策の一環として 今後加入が増加していく可能性があります 攻撃への定期的かつ実践的な演習 訓練を行う n= % 23.9% 十分できているある程度できているどちらとも言えないあまりできていないまったくできていない サイバーセキュリティ保険への加入状況 加入している加入を現在検討中加入予定はない分からない無回答 教育 訓練 演習の実施状況 標的型攻撃メール 13.6 サイバーセキュリティ保険の補償範囲 n= 損害賠償責任に対する補償 87.5% ファームバンキングなどのフィッシング インシデント等への対応作業費用に関する補償 41.1% 役員 幹部を狙ったビジネスメール詐欺 システムの停止等に伴う営業損失などへの補償 23.2% 事件発生時の組織対応 ( 経営報告 広報など ) その他 1.8% 社員のセキュリティ意識の向上 分からない 3.6% 十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 無回答 5

6 CSIRT を設置済みの企業は 2 割に満たない サイバー攻撃などのインシデントに対応する組織である CSIRT(Computer Security Incident Response Team) を設置済みの企業は2 割弱に留まります 設置予定がない企 CSIRT の設置状況 CSIRT の機能状況 業は 4 割にも達しています 設置済み企業が多い業種は金融業で3 割強 設置予定がない企業は 従業員 999 人以下 (50.8%) 売上高 1000 億円未満 (50.4% ) に多い傾向があります 40.7 設置済み企業 18% 機能している企業 71% n=84 9 割の企業は CSIRT( 設置予定を含む ) の構成員として情報システム部門のセキュリティ担当者を配置しています 情報システム部門以外では それぞれ 3 割前後の企業が個人情報保 設置済み今後設置予定設置について今後検討してみたい設置予定はない無回答 29.8 十分に機能しているまあ機能している どちらとも言えないあまり機能していないまったく機能していない無回答 47.6 護 広報 経営企画の担当者を配置しています 法務担当者を配置しているのは全体の4 分の1 程度 役員をメンバーとして CSIRT の陣容 専任者平均 全体平均 CSIRT の構成員 いる企業は28.1% です 7 割超の企業は 自社のCSIRTが 機能している と評価しています ただし 十分に機能している と評価した企業は4 社に1 業種別の CSIRT 設置状況 1.4 人人 9.3 n=128 情報システム部門のセキュリティ担当 91.4% CSIRT の設置予定がない企業 情報システム部門のアプリケーション担当 33.6% n=128 社程度に留まります 製造業 n= % 流通業 n=89 7.9% 金融業 n= % 従業員数別 999 人以下 1000 人 ~2999 人以下 3000 人以上 売上高別 50.8% 40.7% 18.6% 1000 億円未満 n= % 3000 億円未満 5000 億円未満 5000 億円以上 n=250 n=113 n=87 n=23 n=55 n= % 13.0% 12.7% 個人情報保護担当 広報担当 経営企画担当 役員 法務担当 外部委託先 (IT ベンダーなど ) CSIRT 専任担当 その他 32.8% 32.8% 28.9% 28.1 % 24.2% 18.8% 18.0% 14.1 % 6

7 技術選定と運用管理の外部委託を 3 割の企業が指向 セキュリティ対策の 技術選定 と 運用管理 の担当者については 現状でも 2 割前後の企業がITベンダーに委託しています さらに 今後の在り方として ITベンダーへの委託を指向する企業は全体の3 分の1 強に上ります セキュリティ対策の主な役割の担当者 ( 現状と今後 ) 攻撃を受けた際の司令塔 ( 現状 ) ( 今後の在り方 ) 今後の在り方として 社外からの即戦力の採用を指向する企業もありますが 比率は5~6% とごく一部に限られています 対策で利用する技術の選定 ( 現状 ) ( 今後の在り方 ) 自社の社員や経営層 社外からの即戦力の採用 対策の運用管理 ( 現状 ) 委託先 IT ベンダーの技術者いない ( 今後の在り方 ) 分からない無回答 セキュリティは 働き方改革 を上回る第 2 位の優先課題 回答者が情報セキュリティ責任者であるためバイアスを考慮する必要がありますが 今後 1 年間の経営上の課題として サイバーセキュリティ対策 は 働き方改革 を上回る第 2 位の優先度に位置付けられています セキュリティ対策を 技術面 と 組織 人的な面 のどちらの課題に位置付けるかについては 両方の課題 とする企業がほぼ半数を占めます 今後の 1 年間の経営上の優先課題 ( 上位 3 つまで回答 ) 営業の強化 支援サイバーセキュリティ対策働き方改革海外での事業展開やグローバル管理生産 物流の効率化 見直し新規事業の立ち上げ商品 / 製品企画の強化マーケティングの強化 デジタル化経営情報の早期把握顧客サポートやアフターサービスの強化人材採用 評価など人事関連の強化研究 開発力の強化 BCP( 事業継続計画 ) の策定 強化コンプライアンスへの取組み M&A 他社との提携や協業 24.1% 21.2% 16.4% 15.5% 15.3% 15.3% 15.1% 14.4% 13.3% 12.9% 12.5% 10.9% 10.9% 9.4% 44.4% セキュリティ対策は技術課題か組織 人的課題か 記載がある企業両方の課題 51% 27% 51.4 技術的な課題どちらかと言えば技術的な課題 資金繰りや財務面の安定性確保情報共有の進展品質改善 9.2% 7.4% 7.2% どちらとも言えない / 両方の課題どちらかと言えば組織や人的な課題組織や人的な課題分からない無回答 7

8 課題 情報セキュリティは IT による対策の域を CSR( 企業の社会的責任 ) 8 割の企業では外部への説明責任や攻撃による社会への影響を考慮できていません 約 8 割の企業は 取締役の善管注意義務違反や株主代表訴訟などを考慮したセキュリティ対策が実施できていません 情報漏洩事件などが発生した際には 経営陣が法的な責任を問われる恐れがあります また 自社が攻撃を受けることによって直接 間接に顧客や社会に与える影響を考慮し セキュリティ対策を行っていかなければいけません まったくできていない 超えていない 19% あまりできていない 77% 73% 73% n=449 n=451 n=450 できているともできていないとも言えない 善管注意義務違反など法的リスクを考慮した対策対策 リスクの四半期ごとの報告顧客利便性や社員生産性を損ねないための事業部門との調整 BCP( 事業継続計画 ) 7 割の企業は攻撃による数日間のネット遮断に事業が耐えられません サイバー攻撃を受けると 被害の拡大をくい止めるためにインターネット接続を遮断しなければならない場合があります 約 5 割の企業は 遮断時の判断基準や意思決定の手順を策定していません 約 7 割の企業では遮断が数日間に及んだ際の事業への影響や損害規模を把握できていません 事業を維持する手段も確保されていません 19% 55% 71% 70% n=456 n=455 n=456 % 数値は まったくできていない あまりできていない できているともできていないとも言えない の回答の和 8 遮断時の判断基準や意思決定の手順策定数日間のネット遮断時の事業上の影響範囲や損害規模の把握数日間のネット遮断時の事業の維持 縮退のための手段の確保

9 被害の予防 軽減策 3 社に 2 社は定期的な監査と報告に基づく改善活動が行えていません セキュリティ被害の予防 軽減の対策は 半数以上の企業が同業種 同規模の企業と比べ遅れています 進化を続けるセキュリティの脅威に対し 定期的な監査と報告に基づく改善活動を行えていない企業は 6 割を超えます 不審メールの開封など危険な行為の報告の奨励は いまだ 3 分の1の企業において徹底できていません セキュリティ対策は 単なる ITのリスク対策に留まるものではなく 事業継続や法的責任など 企業経営の全般にわたって行われるべきものです インシデントが発生した際には たとえ CSIRTが整備してあったとしても 技術面の対応に終始してしまい 自社やステークホルダーに与える影響を俯瞰した適切な行動を行えず 経営を揺るがす問題に発展するのをくい止められないかもしれません 56% 63% 35% n=454 n=456 被害の影響を考慮し 企業として適切な行動を取るためには サイバーセキュリティを ITや情報システム部門だけによる課題とせず 経営全体が取り組むべき課題とし 経営者が自らリーダーシップを取っていくことが必要です 同業種 同規模企業の平均水準以上の対策定期的な監査と報告に基づく改善不審メールの開封など危険な行為の報告の奨励 それはまさに サイバーセキュリティ経営ガイドライン の重要なメッセージでもあります クライシス コミュニケーション 7 割の企業は被害発生時に適切な情報発信 提供ができません セキュリティインシデントが発生した際には 被害の拡大防止や早期復旧のために 関係者に迅速に情報を伝える必要があります 半数強の企業は 委託先 ITベンダーとの連携手順を整えてあるものの 6~7 割の企業は顧客 取引先 メディアへの連絡手順が未整備です セキュリティ侵害が発生した際に問い合わせや苦情が殺到する恐れがあります 19% 58% 66% 44% 顧客 取引先への連絡手順メディアへの連絡や広報の手順委託先 IT ベンダーとの連携手順 9

10 サイバーセキュリティ対策の実施状況 CSR( 企業の社会的責任 ) 被害の予防策 / 軽減策 善管注意義務違反 株主代表訴訟などの法的リスクを考慮した対策 対策の現状とリスクの頻繁な ( 3ヵ月に1 回以上の ) 経営層への報告 顧客の利便性や社員の生産性を損ねないための事業部門との調整 サイバー攻撃発生時の BCP( 事業継続計画 ) ある程度できている 十分できている 22.9% n=449 n=451 n=450 ネット接続を遮断する際の判断基準や意思決定の手順の策定 n=456 どちらとも言えない あまりできていない まったくできていない 26.8% 26.9% 45.0% 55.0% 77.1% 73.2% 73.1% 同業種 同規模の企業の平均以上の水準の対策 n=454 対策状況についての定期的な監査と報告を受けての改善 n=456 社内システムに侵入されても情報の漏えいや破壊を免れる対策 n=453 標的型攻撃メールの開封など危険行為を隠さず報告することの奨励 情報資産をすべて洗い出し その重要度に応じた保護対策 43.6% 56.4% 36.8% 35.2% 38.1% 50.3% 49.7% 63.2% 64.8% 61.9% 05 ネット接続を数日間遮断した場合の事業上の影響範囲や損害規模の把握 n= % 71.2% 12 インターネットにつながっていないシステム ( 工場 POSなど ) への対策 n= % 69.9% 06 ネット接続を数日間遮断した場合の 事業の継続 縮退のための手段の確保 n= % 69.5% 13 系列企業や取引先企業の対策状況の把握と改善要望の提示 n= % 73.5% 10

11 クライシス コミュニケーション 情報セキュリティ対策を実施する上での責任者となる担当幹部 (CISO 等 ) に経営者が指示すべき 重要 10 項目 14 顧客 取引先への連絡手順 42.0% 58.0% サイバーセキュリティリスクへの対応について 組織の内外に示すための方針 ( セキュリティポリシー ) を策定すること 方針に基づく対応策を実装できるよう 経営者とセキュリティ担当 両者をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること その中で 責任を明確化すること 15 警察 監督官庁業界団体への連絡手順 45.5% 54.5% 経営戦略を踏まえて守るべき資産を特定し セキュリティリスクを洗い出すとともに そのリスクへの対処に向けた計画を策定すること 16 メディアへの連絡や広報の手順 34.1% 65.9% 計画が確実に実施され 改善が図られるよう PDCA を実施すること また 対策状況については CISO 等が定期的に経営者に対して報告をするとともに ステークホルダーからの信頼性を高めるべく適切に開示すること 系列企業やサプライチェーンのビジネスパートナーを含め 自社同様に PDCA の運用を含むサイバー セキュリティ対策を行わせること 17 委託先 ITベンダーとの連携手順 56.2% 43.8% PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え 必要な予算の確保や人材育成など資源の確保について検討すること IT システムの運用について 自社の技術力や効率性などの観点から自組織で対応する部分と他組織に委託する部分の適切な切り分けをすること また 他組織に委託する場合においても 委託先への 攻撃を想定したサイバーセキュリティの確保を確認すること 攻撃側のレベルは常に向上することから 情報共有活動に参加し 最新の状況を自社の対策に反映 すること また 可能な限り 自社への攻撃情報を公的な情報共有活動に提供するなどにより 同様の 被害が社会全体に広がることの未然防止に貢献すること サイバーセキュリティ対策の実施状況に関して 17 の設問を設け確認しました サイバー攻撃を受けた場合 迅速な初動対応により被害拡大を防ぐため CSIRT( サイバー攻撃による情報漏えいや障害など コンピュータセキュリティにかかるインシデントに対処するための組織 ) の整備や 初動対応マニュアルの策定など緊急時の対応体制を整備すること また 定期的かつ実践的な演習を実施すること 全 17 設問のうち 危険行為の報告の奨励 委託先 IT ベンダーとの連携 侵入されても情報の 漏えいや破壊を免れる対策 の 3 つを除くと できていない ( どちらとも言えない を含む ) と いう回答が過半を占めています サイバー攻撃を受けた場合に備え 被害発覚後の通知先や開示が必要な情報項目の整理をするとともに 組織の内外に対し 経営者がスムーズに必要な説明ができるよう準備しておくこと 出所 : サイバーセキュリティ経営ガイドライン 経済産業省 情報処理推進機構 11

12 戦略サイバーセキュリティ経営を実践するために 責任者が経営層と情報セキュリティ部門とを密接に連携させる機能を果たしている企業では 経営層が対策の現状を理解できており 両者には明らかな相関関係が見られました また 情報セキュリティ責任者が機能している企業は ほぼ半数がセキュリティ対策の投資額が適切と答えています 責任者が経営層と現場を連携させる機能を果たすことは投資額の適正化に寄与すると考えられます 経営層が対策の現状を理解できている企業の割合 責任者が連携機能を果たしている企業 責任者が連携機能を果たしていない企業 n=196 n=45 78% 20% セキュリティ対策投資額の適正さ 責任者が連携機能を 果たしている企業 n= 責任者が連携機能を 果たしていない企業 n= 過剰である適切であるやや不足している大いに不足している無回答 CISO/ 情報セキュリティ責任者により経営層と情報セキュリティ部門を連携させる 企業がサイバーセキュリティリスクを適切に管理できるようにするためには 経営層がセキュリティ対策の現状等を的確に理解できていなければなりません そのためには 経営層に CISO( 最高情報セキュリティ責任者 ) を置き トップダウンでセキュリティの推進を主導し 情報セキュリティ部門との間で 正確 適時に情報を交換 共有できる管理体制を整えることが重要です 経営層がサイバーセキュリティをリードするために重要な役割を果たすのがCISO( 最高情報セキュリティ責任者 ) です CISOを含む情報セキュリティ責任者を設けている企業は7 割に達しています その 55% は取締役であり 業務執行の意思決定体である取締役会の場で情報セキュリティを経営課題として直接議論できる立場にあります 全体では39% の企業で取締役が情報セキュリティの責任者を務めています 一方で 全体で3 割の企業は セキュリティ責任者を置いていないか回答がありませんでした 執行役員 27% 無回答課長以下部長 1% 2% 8% 課長以下 5% 部長 21% CISO 以外の情報セキュリティ CISOの役職 責任者の役職 n=73 取締役 n=248 63% CISO の肩書を持つ責任者を置いている 16% いずれも置いていない 27% 執行役員 20% 取締役 53% CISO という肩書ではないが 情報セキュリティ責任者を置いている 54% 12

13 CISO/ 責任者の経歴 n=321 責任者は連携機能を果たしているか 知識や経験の不足は一朝一夕で解決するものではありま 情報システム担当の内部昇格者 リスク管理担当の内部昇格者 情報システムもリスク管理も担当していない内部昇格者 社外からの登用 11.8% 30.5% 24.0% 38.0% あまり果たしていない 12.1 まったく果たしていない 2.2 連携機能を果たしている 十分に果たしている 22.7 せん 教育 訓練などの長期的視野の施策とともに 外部の専門家の活用等の短期的な施策も検討すべきでしょう また CIOがCISOを兼務する組織は 両者の分離が必要になるかもしれません AI IoT 等の新たなテクノロジーによる変革の波が押し寄せる中 新たなサービスや製品を生み出 し 顧客を獲得することに創造力を発揮する 攻めの活動 CISO/ 責任者の CxO 兼務状況 CIO( 最高情報責任者 ) CFO( 最高財務責任者 ) CRO( 最高リスク責任者 ) n= % 16.8% 11.2% どちらとも言えない % n=321 まあ果たしている 38.3 と 経営者の最大の関心事となりつつあるサイバーリスクを軽減する 守りの活動 の双方の比重が高まるためです 両者ともに企業活動における重要性が高まるなか 組織を守る牽制機能を充実させる必要性はさらに高まっていくでしょう CEO( 最高経営責任者 ) 6.2% COO( 最高執行責任者 ) 4.4% CTO( 最高技術責任者 ) 2.5% CMO( 最高マーケティング責任者 ) 0.3% その他 6.5% 上記のいずれも兼務していない 46.7% CISO/ 責任者が連携機能を果たせない理由 n=124 セキュリティ技術に関する知識や経験が不足セキュリティ担当部門のマンパワーやスキルが不足社内全体にセキュリティ対策の重要性に対する認識が不足全社横断的な指揮命令権限がない十分な予算が与えられていない経営トップなどとのコミュニケーションが不足全社の業務に関する知識や理解が不足採用や異動などの十分な人事権限がないその他分からない 59.7% 47.6% 42.7% 21.8% 13.7% 12.1% 10.5% 9.7% 1.6% 4.0% CISO/ 情報セキュリティ責任者を設置している企業の6 割は 責任者が連携機能を果たしていると回答しました 一方 連携機能を果たせていない企業に理由を尋ねると 責任者の知識や経験の不足を挙げた回答が6 割と最多でした 責任者の4 割は 情報システムやリスク管理の担当経験がありません CISO/ 情報セキュリティ責任者のほぼ半数は CxOを兼務しています 最も多いのは CIOとの兼務で22% でした 13

14 セキュリティ対策の あるべき姿 を描く 経営層が現状を理解している企業の7 割は セキュリティ対策の あるべき姿 を経営層が持ち 同じく 7 割の企業はセキュリティ担当部門との間で あるべき姿 について共通の認識を持つことができています 逆に 経営層が現状を理解できていない企業は 経営層が あるべき姿 を持つことも それをセキュリティ部門と共有することも まったくできていません 経営層が対策の あるべき姿 を持っている企業の割合 69% 69% 経営層と担当部門が あるべき姿 を共有できている企業の割合 対策の現状を理解し 強化すべき改善事項などの あるべき姿 を描くことができたら その実現に向けて経営資源の適時 適切な配分を決定することが 経営層の役割です 予算 人材の配分を経営層が自ら判断 決定し 適切に管理していくことが重要です 0% 1 % 経営層が現状を 経営層が現状を 理解できている企業 理解できていない企業 n=232 n=96 経営層が現状を 経営層が現状を 理解できている企業 理解できていない企業 n=232 n=96 経営資源を適切に配分する (1) 予算 セキュリティ対策の支出を 成長のための投資 と見るのか やむを得ない費用 と見るのか -- 成長投資と見る企業は 全体の 18.6% 2 割弱に留まっています 圧倒的な多数派は やむを得ない費用 と見る企業です ほぼ 3 社に2 社は やむを得ない費用 に位置付けています しかし セキュリティ対策の支出を 投資 と見る企業と 費用 と見る企業では 予算の充足状況や増減計画に明確な違いがあります 投資 と見る企業では 7 割超が必要な予算を確保できており 4 割弱が投資額を増やす計画です 一方 費用 と見る企業では それぞれ 4 割強 3 割弱に留まります 年間投資額 万円以上 成長投資と見る企業 1000 万円未満 40% 1000 万 ~3000 万円未満 万 ~5000 万円未満 5000 万 ~1 億円未満 19% 1 億 ~3 億円未満 3 億 ~5 億円未満 5 億 ~10 億円未満 10 億円以上 44.6 分からない 無回答 19.3 投資か費用か 明らかに投資どちらかと言えば投資どちらとも言えないどちらかと言えば費用明らかに費用分からない無回答 14

15 必要なセキュリティ予算の確保 できているできていない 52.0% 23.0% 投資と見る企業 n= 費用と見る企業 n= 年度のセキュリティ投資額の増減 全体 投資と見る企業 n= 費用と見る企業 n= 経営層がシステム部門の取組みや技術力に満足していない企業では 7 割超がシステム部門も経営層の対策への理解に満足していません ( グラフ システム部門は対策に対する経営層の理解に満足しているか を参照 ) 一方に不満があると 他方も不満を抱いています 経営層が現状を理解した上で対策のあるべき姿を持ち システム部門と密接に意見や情報を交換できる関係を築くことが重要です n=456 十分できているあまりできていない 8.2 ある程度できているまったくできていない 3.4 どちらとも言えない 増加 (5 割以上 ) 減少 (2 割未満 ) 0% 50% 100% 増加 (2 割以上 5 割未満 ) 増加 (2 割未満 ) ほぼ横ばい 減少 (2 割以上 5 割未満 ) 減少 (5 割以上 ) 無回答 経営資源を適切に配分する (2) 人材 セキュリティ対策に取り組む上での最大の課題として最も多く挙げられたのは 知見のある実務担当者が足りないという 人材の確保 育成に関する事項でした ただし 欠乏感は企業によって大きな差があります 経営層が対策の現状を理解している企業では 3 割弱が確保できているのに対し 経営層が現状を理解できていない企業では 確保できていない企業が8 割に上ります 必要な人材の確保 育成の状況 確保 育成できている できている企業 17.7% 47.0% できていない 28.9% 31.5% 確保 育成できている 5.2% できていない企業 できていない 81.3% 対策に取り組む上での課題 知見のある実務担当者が足りない 64.3% 従業員の意識が低い投資対効果が分からないサイバー攻撃の進化に追いつけない対策のための予算を確保できない経営層の理解が乏しいその他特にない 43.5% 42.2% 35.9% 28.2% 22.1% 2.2% 2.0% システム部門は対策に対する経営層の理解に満足しているか 経営層がシステム部に 満足な企業 1.8 n=170 不満な企業 n= 経営層が現状を理解できている企業 n=232 経営層が現状を理解できていない企業 n=96 とてもそう思うあまりそう思わない まあそう思うまったくそう思わない どちらとも言えない 15

16 お問い合わせ先 KPMG コンサルティング株式会社サイバーセキュリティアドバイザリー TEL: 本サーベイの無断転載を禁じます ここに記載されている情報はあくまで一般的なものであり 特定の個人や組織が置かれている状況に対応するものではありません 私たちは 的確な情報をタイムリーに提供するよう努めておりますが 情報を受け取られた時点およびそれ以降においての正確さは保証の限りではありません 何らかの行動を取られる場合は ここにある情報のみを根拠とせず プロフェッショナルが特定の状況を綿密に調査した上で提案する適切なアドバイスをもとにご判断ください 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in Japan The KPMG name and logo are registered trademarks or trademarks of KPMG International.