「サイバー攻撃は防ぐことができない」──こう回答した企業が65％に達した。KPMGコンサルティングが6月初めに発表した「サイバーセキュリティサーベイ 2016」で明らかになったもの。国内の上場企業と売上高500億円以上の未上場企業、合わせて363社の情報システム部門責任者から回答を得た、いわば、情シスから発せられた生の声だ。旅行会社最大手のJTBが大量の顧客情報を流出させた事故が衝撃的に伝えられた今週、改めてその調査結果に注目してみたい。

同レポートによれば、過去1年、サイバー攻撃を受けた企業は35％と思ったより少ないが、そもそも全体の46％の企業は「自社にはサイバー攻撃を発見する能力があるとは思わない」と回答しており、実際にはより多くの企業が攻撃を受けているだろうことは容易に想像できる。

そこからは、サイバー攻撃を受けたことを迅速に発見し、対処するための対策導入が遅れている日本企業の実態が見て取れるし、セキュリティ事故の発生は起こり得ることとして許容し、むしろ攻撃の発見と対処が重要になってきていることも改めて確認できるだろう。

こうした現実に直面する情報システム部門の責任者たちからは、「サイバー攻撃の予防をテクノロジーに依存するべきとは思わない」という回答が多数寄せられた。その比率は半数近い44％に達しており、「セキュリティ対策は、IT部門の仕事」という風潮に対しても危機感を募らせる。

サイバー攻撃の確保・維持のために彼らが与えられた予算も、金融や売上高1兆円以上の超大企業は別格としても、全体の55％の企業が「1000万円未満」と回答している。驚くほど予算が少ない、というのが正直な感想だ。

併せて、68％の情報システム部門責任者は、「サイバー攻撃対策は取締役会で議論すべき」とし、さらなる経営層の関与を求めている。

KPMGコンサルティングの田口篤パートナー

KPMGコンサルティングでサイバーセキュリティアドバイザリー部門を統括する田口篤パートナーは、「もちろん、サイバーセキュリティ対策が大切ではない、と考える経営者はいない。しかし、人・物・金の手当てをせずに“情シス、頑張れ”と言うだけの経営者はまだまだ多い」と話す。同社では、国内の拠点に60人規模、グローバルでは1000人規模のサイバーセキュリティの専門家が連携し、顧客企業のセキュリティ対策を支援している。

「日本企業も急速に国境を越え、ビジネスを拡大しつつある。国や地域によって個人情報保護に関する法律も違えば、働く社員の文化も違う。そうした違いをいかに吸収し、均質のセキュリティ対策を実施していくのか。サイバーセキュリティ対策は、単に情報システム部門に任せるのではなく、企業全体で取り組むべきものだ」と田口氏。

IoT時代のセキュリティ対策は後付けではダメ

さらにサイバーセキュリティ対策に経営層の関与が求められる背景には、第4の産業革命として日本でも国を挙げて取り組みが始まろうとしているIoTがある。

IoTが、その期待と裏腹にサイバーセキュリティに関する一層のリスクをはらんでいるのはご存じのとおりだ。次なる産業革命では、オフィスに閉じていたセキュリティ対策の範囲が、工場や社会インフラ、さらには消費者の家庭へと際限なく広がっていくことを意味する。ひとたび事件・事故が起これば、その影響は甚大で、昨年12月、ウクライナの電力会社が標的型メールによるサイバー攻撃を受け、数時間に及ぶ停電が発生したことも記憶に新しい。

「サイバーとリアルが融合していくIoTでは、重要インフラや自動運転車、医療機器などがサイバー攻撃を受ければ、直ちに人命に関わってくる。IoT時代のセキュリティ対策は後付けではダメ。経営層のリーダーシップの下、設計段階から組み込むべきだ」と田口氏も警鐘を鳴らす。

関連記事 日本のセキュリティ体制は欧米と遜色なし、「高き理想」の状況も

セキュリティ担当役員やCSIRTの設置状況は日米欧であまり差がないものの、日本は欧米より要求が厳しいことが分かった。

日本のセキュリティ体制は欧米と遜色なし、「高き理想」の状況も セキュリティ担当役員やCSIRTの設置状況は日米欧であまり差がないものの、日本は欧米より要求が厳しいことが分かった。 セキュリティの人材難、ITとセキュリティの担当を分けるべき？

セキュリティ人材の確保が難しくなる状況に企業はどう対応すべきか。NRIセキュアが“あるべき姿”への取り組みを提言している。

セキュリティの人材難、ITとセキュリティの担当を分けるべき？ セキュリティ人材の確保が難しくなる状況に企業はどう対応すべきか。NRIセキュアが“あるべき姿”への取り組みを提言している。 CSIRTでは不十分、企業のセキュリティ人材の育成課題とは？

約40社が参加する「産業横断サイバーセキュリティ人材育成検討会」が日本企業におけるセキュリティ人材の育成での課題を明確化した。

CSIRTでは不十分、企業のセキュリティ人材の育成課題とは？ 約40社が参加する「産業横断サイバーセキュリティ人材育成検討会」が日本企業におけるセキュリティ人材の育成での課題を明確化した。 IoTとビッグデータがもたらす社会変革とクラウドセキュリティ

今回はInternet of Things（モノのインターネット）やビッグデータの特徴をひも解きつつ、社会に与える影響とセキュリティ上の課題を提起していく。 関連リンク KPMG

Copyright © ITmedia, Inc. All Rights Reserved.