Download PDF -
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
PwCはビジネス・テクノロジー・セキュリティなどの分野の経営者を対象に、サイバーリスクについて20年以上継続して調査(Global Digital Trust Insights)を実施しており、2023年度は3,522名を対象に調査を行いました。
本稿では調査結果を基に、セキュリティ強化のうえで日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
目的 |
・セキュリティ強化のうえで、グローバルと比較した際の日本企業が抱える課題を明らかにする |
調査テーマ |
今後12~18カ月間に組織内のサイバーセキュリティを向上させるための課題と機会について |
調査対象 |
66カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,522名 |
調査期間 |
2022年7~8月 |
| 調査結果の概要 | 累積的な投資により組織のセキュリティが向上した一方、進化を続ける未知のサイバー脅威に対し、多くの企業は準備が十分でないことが判明。サイバー脅威にダイナミックに備えるため、C-suite(企業経営陣)のさらなる連携・結束が求められる。 |
セキュリティ強化のうえで日本企業が抱える課題
進化を続ける未知なるサイバー脅威に備えるため、企業経営陣のさらなる連携・結束が今後ますます重要になると考えられます。しかし、グローバルに比べ日本企業は、サイバーセキュリティに関して経営陣が一致した見解を得にくいことが判明しています。
2022年度にCISO(最高情報セキュリティ責任者)を対象に行った調査では、グローバル平均で51%がサイバーセキュリティに関して経営陣と見解が一致したと回答したのに対し、日本企業では23%にとどまりました(図表1)。Global Digital Trust Insightsの調査より判明した、グローバルと比較した際の日本企業が抱える下記の課題はこれに起因していると考えられます。
課題1:組織のサイバーリソースを効果的に活用できていない
日本企業もセキュリティ強化のための取り組みをさまざま実施していますが、グローバル平均には及んでいないのが現状です。「サイバーリソースの価値と効率の向上」については、グローバル平均が75%であったのに対し、日本企業では63%と乖離が見られました。
組織のサイバーリソースの価値と効率の向上はセキュリティ強化のうえで重要であるため、今後セキュリティ対策を推進するうえで費用対効果を得にくくなる可能性があります。
課題2:インシデント発生時における情報公開への対応が十分でない
企業においてインシデントが発生した際、情報公開への対応がグローバルと比べ十分でないことが明らかとなっています(図表3-1,3-2)。「インシデント発生時に、サイバーに関連する専門的見解を取締役会で述べられる」ではグローバル平均に比べ13%、「インシデント発生における情報公開ポリシーが整備されている」でも13%の乖離があります。また、米国や中国と比較するとその差はさらに開いており、日本企業は、インシデント発生時に専門的見解を持ち合わせて状況を正確に把握する経営体制がグローバルに比べ不十分であると考えられます。
課題3:レジリエンスのあるセキュリティ対策を推進できていない
セキュリティ対策を推進するうえで、従来はあらかじめ定義された個別の計画やプロセスに従っていました。しかしサイバー脅威が高まるにつれ、近年は多様なセキュリティ事象に対応するための、統合的かつ機動的なオペレーションモデルに従う傾向にあります。それでも、米国や中国をはじめグローバルと比較すると、日本企業は依然として中長期的なサイバーセキュリティ戦略に基づいて運用・技術方針を策定し、セキュリティ対策を推進する傾向にあることが判明しています。
BISOによる解決策
米国をはじめとしてグローバルでは、企業が展開するビジネスに対して投資家からの理解を得るためにデジタル領域のバックグラウンドを持つ人物が企業経営に携わることが主流になりつつあります。結果として、セキュリティなどテクノロジーに関して経営陣の見解がまとまりやすく、ビジネスにおいてテクノロジーの利活用が積極的に進んでいます。日本企業でもその傾向を追随しつつありますが遅れていると考えられ、グローバルに比べ経営陣の見解が一致しにくいことによりセキュリティ強化のうえで前述のような課題が生じていると考えられます。
課題解決のためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。
近年、ビジネス視点でセキュリティ業務を担うBISO(Business Information Security Officerの略)の設置がグローバル企業を中心に進んでいます(図表5)。下記に示すスキルセットを保有するBISO(図表6)は、CISOと事業部とのコミュニケーションの架け橋となる役割を担い、日本企業に見られる、セキュリティに関する見解が経営陣の間で不一致になりやすい現状を打破し、情報セキュリティの迅速な推進への貢献が期待されます。
ビジネスにセキュリティ要件が組み込まれることにより、製品・サービスの品質や顧客価値の向上が見込めることから、BISOは企業にとって今後欠かせない役割を果たす可能性があります。
総括
本調査の結果をふまえ判明した日本企業が抱える課題を解決するためのアプローチ案として、ビジネス視点でセキュリティ業務を担うBISOの組織への新設を提唱しました。CISOと事業部のコミュニケーションの架け橋となる役割を担う、企業がセキュリティ強化を推進するうえで欠かせない役割を果たすと見込まれます。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって、現状を理解しセキュリティ強化に寄与する一助になれば幸いです。
インサイト/ニュース
20 results
Loading...
Download PDF -
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
Download PDF -
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
Download PDF -
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
