コンサルティング企業のKPMGコンサルティングと監査・税務サービスを提供するKPMG FASが共同で実施した「サイバーセキュリティサーベイ2022」というレポートがウェブに公開されています。
公開時期は今年の1月19日で、調査は昨年の6月から7月末にかけておこなわれているため、情報自体は1年前のものにはなります。
ただし、最近のサイバーセキュリティ関連の状況を理解する参考になると考えましたので、今回はそのレポートの内容をいくつかピックアップしてお知らせいたします。
なお、この調査の回答数は285件で、回答企業の属性は
〇業種で多いのは製造業(約4割)
その他、流通、建設・不動産、金融、通信・ITなどが1割強
〇従業員500人未満が約3割、500~1000人未満、1000~3000人未満がそれぞれ2割
〇売上高は500億円未満が半数以下、500~1000億円が14%、3000億円未満が16.1%
となっています。
詳しくはレポート本文を確認いただきたいのですが、時間の無い方は、こちらの記事をざっと目をとおしていただければ幸いです。
約3割で経済損失、システム遅延・中断が発生!
サイバーインシデント関連のニュースは大手企業の被害が取りあげられることもあり、頻繁に目にするわけではありません。
しかし、回答企業の28.7%でサイバーインシデントにより「自社に経済的な損失が発生した」とあり、それを考えると、実態としてはいつもどこかでサイバー系の被害が起きていると言えそうです。
被害の原因を見ると、「ランサムウェア」がもっとも多く、被害額は1000万~1億円に及んだとする回答が15%、1.2%ながらも被害額が1~10億円という回答もありました。
サイバーインシデントにより、システムが大きく遅延したり、中断したという回答が約3割に上り、自社の事業継続にも影響が及んでいる実態が伺えました。
このようにサイバーインシデントは事業中断等を引き起こすものであるため、サイバーセキュリティ対策はBCPに不可欠な予防対策の一つであり、今後のBCPにはますます不可欠な要素になるということを改めて感じました。
サイバー攻撃への対処
サイバー攻撃への備えの一つとして、日常的にウェブサイトやニュースなどを確認し、情報収集を行うという回答が7割以上で見られていました。
(弊社のメルマガもそういった情報収集の一つのソースとしてとらえていただいているようで、大手企業の危機管理部門のご担当者様にも読まれておりますので、今後も有益な情報発信に心がけたいと思っています!)
サイバーセキュリティの取り組みとして、興味深い情報がいくつかありましたので、続けて紹介します。
(1)サイバーセキュリティの投資額は増加しつつも不十分
サイバーセキュリティ対策への投資額は「増加傾向」にあるようです。
2020年と2021年の投資額の比較では、約6割が「ほぼ横ばい」でしたが、約4分の1の回答企業で2割以上増、4.6%の回答企業ではなんと5割増以上となっており、全体としてはサイバーセキュリティへの投資額は増加傾向にあるとのことでした。
一方で、7割近い回答企業は投資額が「やや不足」「大いに不足」と回答していることから、サイバーセキュリティへの投資額は増えつつも、担当者レベルではまだまだ必要な対策は取られていないと認識をしていることがわかりました。
(2)サイバーセキュリティ責任者の設置も増加
サイバーセキュリティの責任者をおいているという回答は約6割あり、2019年と比較して、責任者を置いている企業は若干増えており、担当者の配置は2割以上増加していました。
上記の(1)(2)から、以前と比べて人と金がサイバーセキュリティ対策に配分されてきているようです。
ただし、8割で人材不足を感じているという結果となっていることもあり、各社ともサイバーセキュリティへ人やお金を当てていくことはこれからの課題です。
とは言うものの、必要となる人的資源と資金を十分配分できる企業は今後も限られるでしょう。そこで、こういった実情を十分踏まえた上で、現実的な対応策が必要になると考えています。
(3)社内CSIRTの設置と訓練
驚いたのは、自分が思っているより以上に社内でCSIRTが設置されていることと訓練もかなり行われていることでした。
※「CSIRT」とは、サイバー攻撃による障害等に対応する組織やチームのことを言います
CSIRT設置企業の半数近くで、ランサムウェアを含む標的型攻撃に対する訓練が実施されていました。
当然、企業によってCSIRTの対応能力にはかなり差があると思いますが、それでも、CSIRTの設置企業の4分の3はそのCSIRTが機能しているという回答があり、これも意外でした。緊急対応の体制の整備は比較的進んでいるようです。
ここで1つ目についたのが、専門家チームで攻撃をかけるといった訓練まで行っている企業はわずかだということでした。
小さな企業でそのような専門家チームを交えた訓練を行う可能性は今後も少ないと思います。しかし、一旦被害を受けると広範囲に影響が及ぶ大手企業では、今後、外部の専門家の支援を受けながら、より実践的な訓練を行うのが一般的になるような予感がしております。
(4)対応手順の整備
調査結果からは、サイバーインシデントに関する初動対応手順は半数の企業でまとまっており、関連する各種手順の策定もある程度進んでいる様子が伺えました。
このようにインシデント発生時の対応体制と対応手順の整備は比較的進んでいると言えます。
しかし、数日間停止した場合の事業継続の対応手順の準備は2割程度にとどまっていることから、BCPと連動した準備はまだまだこれからのようです。
(5)外部サービスの契約
サイバーインシデント対応を支援するサービスはいろいろあるのですが、そのようなサービスに契約している割合は半数程度にとどまりました。
参考までに、セコムでは、セコムトラストシステムズが「サイバー消防団」というサービスを提供しており、サイバーセキュリティインシデント発生時の一連の緊急対応を支援していますのでお伝えします。
リモートワーク増に伴うサイバーセキュリティ対策
新型コロナウイルスの感染拡大にともない、一機に普及したのがリモートワークとzoom等のオンライン会議システムの利用です。
リモートワークは自宅等から社内ネットワークにアクセスする必要があるので、サイバーセキュリティ的にはかなりのリスクになります。
そのため、リモートワークに関するセキュリティ面での取り組みもかなり進んだようです。
(1)対応方針の設定
まず、リモートワークの実施割合が高い企業ほど、リモートワーク専用の方針や既存のBCP流用等による対策方針が明確になっていました。
これは当然の結果と言えます。
(2)利用端末は貸し出しPCが中心だが、、、
リモートワークの利用端末(PC)については、貸出PCが7割以上となっており、業務システムへのアクセスには8割以上がVPN(仮想プライベートネットワーク)が利用されていました。
このように物理的な対策は施されているようでした。
しかし、ネットワーク経由でのセキュリティ対策は十分ほどこされていないことから、外部からのサイバー攻撃より、従業員による内部不正を心配する回答が多く見られました。
在宅勤務は今後も継続していくでしょうから、この調査では不安視されていた内部不正を防ぐための備えが今後重要になってくると思われます。
海外と大きく遅れている制御システムのセキュリティ
海外と比べて大きく遅れている部分があることも見えました。
製造業で利用される制御システムのサイバーセキュリティ面でのアセスメントや制御システムの監視の実施については、日本と海外ではかなりの開きがあるようです。
海外では30%以上が制御システムの監視しており、試験実施や予定を含めると9割以上となっているそうです。この点、日本企業ではかなり遅れが見られています。
制御システムのセキュリティ対策が遅れている理由としては、
・知見のある実務技術者が不足
・対策をになう組織がはっきりしていない
・人的リソース不足
・従業員の意識の低さ
などが上位にあがっており、いずれも人の問題でした。
国内でも製造業のサイバーインシデントがニュースで取り上げられていますし、このレポートでも製造業特有の脆弱性について指摘がされています。
以前から製造業でのサイバーセキュリティ対策の遅れは認識されていたこともあり、弊社では以前、島根県と連携しながら、製造業向けのサイバーセキュリティ関連のセミナーを企画・運営したことがあります。
このレポートを見ると、セミナーをやった当時から製造業の状況はほとんど変わっていないようですが、ネットワーク化が進むことで逆にリスクだけは増えています。そこで、製造業の皆さんにとっては、規模の大小を問わず、サイバーセキュリティ対策の重要性はより高まっていると言えます。
まとめ
以上、ポイントを紹介してきましたが、このレポートの内容をざっくりまとめると、
- サイバ―セキュリティインシデントはあちこちで日常的に起こっており、対岸の火事ではなさそう
- サイバーセキュリティ対策に人と資金の配分が進み始めているが、実情としては必要性に対していずれも不十分な状態
- 本格化したリモートワークには物理的セキュリティは施されているが内部不正の防止にまでまだ至っていない様子
- 製造業でのセキュリティ対策はまだまだこれから
としました。
以上の情報を参考に、自社の対策についての評価につなげていただければ幸いです。
