Download PDF -
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
PwCはビジネス・テクノロジー・セキュリティ分野の経営層を対象に、サイバーリスクに関する調査(Global Digital Trust Insights)を、20年以上継続して実施しています。
2024年度は、今後12~18カ月間における組織内のサイバーセキュリティ向上をテーマに据え、71カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,876名を対象に調査を行いました。
本稿では調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
変化する規制の影響と組織内の認識乖離
グローバル各国はAI、サイバーセキュリティ、プライバシー保護、製品セキュリティなどデジタル分野において、企業のビジネスモデルの変革を迫る法令を次々と制定しています。ビジネスに影響を与えるこのような法令は、今後も増加の一途を辿るでしょう。
Global Digital Trust Insightsの調査によると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識しており、ビジネスへの多大なインパクトが読み取れます(図表1)。
こうした状況下では、経営陣(C-suite)は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価することが求められるでしょう。
しかし、デジタル分野の法規制が与える組織への影響について、経営陣の認識は一意ではありません。
例えば、「法執行機関への報告義務への対応」に関する規制について、「大幅なコンプライアンスコスト増加や業務改革に迫られている」と答えた割合は、CISOなどのセキュリティリーダーで60%、一方CEOなどのビジネスリーダーでは25%と、大きな乖離があります(図表2)。
このような認識の乖離が生じる背景には、法規制あるいはその影響についての情報格差があると考えられます。デジタル分野の法令には、専門用語を用いて技術的実装を求める難解なものもあるため、従来の法令と比べてビジネスリーダーに伝わる情報に格差が生じやすい傾向があります。
このようなデジタル分野の法令に関するビジネスリーダーとセキュリティリーダー間の情報格差を生むものとして、主に以下の要因が考えられます。
- 法令が専門家向けの言葉で表現されている
デジタル分野の法令は専門用語が用いられている上、技術的な実装を求めるものも多いため、ビジネスリーダーが内容を理解し、必要コストを正確に把握することが困難である。 - ビジネスへの影響の大きさを把握できていない
セキュリティリーダーにとっては、法令対応がどの程度、企業活動に影響を及ぼすのか、特にコスト面で判断することが難しい。 - テック・ビジネス間のコミュニケーションが不足している
規制の影響に対する、テック・ビジネス間の情報格差を解消するため、セキュリティリーダーが積極的に、分かりやすい言葉でビジネスリーダーに働きかける必要がある。
組織内のコンプライアンスリスクを解消するBISOの存在
デジタル分野の法規制に関するビジネスリーダーとセキュリティリーダー間の情報格差を埋め、課題を解決するためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。
近年、ビジネス視点でセキュリティ業務を担うBISO(Business Information Security Officer)の設置がグローバル企業を中心に進んでいます(図表3)。実際に、日本においてBISOを一部でも導入している企業の割合は約83%と、グローバル平均である約76%を超える高水準となっています(図表4)。
一方で、全ての企業がBISOを最大限活用できているとは言い切れません。回答者のうち、BISO導入の効果を実感している割合は約23%と低く、BISOの設置が形骸化してしまっている可能性が考えられます。
BISOの実効性を高めるためには、以下の対策を通じて、BISOに組織横断的な働きかけの促進を求めることが重要です。
- サイバーセキュリティの専門用語で語らない
CEOやCIOなどのサイバーセキュリティの専門家以外にも理解できる言葉で語ることで、無駄な混乱を防ぐことができる。 - サイバーセキュリティを経営層の主要議題とする
サイバーリスクとその管理に関する情報だけではなく、サイバーセキュリティの取り組みがどのように事業や収益に寄与しているかについて、情報を提供する。 - 事業全体に関わる取り組みとしてセキュリティを推進する
ビジネスとセキュリティを別々に捉えるのではなく、事業全体に関わる取り組みとして、CISOとCEOがともにサイバーセキュリティを積極的に活用する。
総括
本調査の結果を基に、規制の影響に関して組織内で情報格差が生じている現状と、その解消方法であるBISOを形骸化させない方策を提示しました。
2024年にサイバーセキュリティが直面する大きな変化に対してスピーディかつダイナミックに対応するため、BISOがセキュリティリーダー(CISOなど)とビジネスリーダー(CEOなど)の橋渡し役として、情報格差を埋める働きをすることが重要です。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって現状を理解する一助となり、企業のセキュリティ強化に寄与することができれば幸いです。
Global Digital Trust Insightsの全世界の結果レポートは以下のリンクからご覧ください。
CxOプレイブック:セキュリティをイノベーションの中核に―「Global Digital Trust Insights 2024」調査結果より
インサイト/ニュース
20 results
Loading...
Download PDF -
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Download PDF -
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
Download PDF -
悪用された脆弱性の傾向分析
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
Loading...
