PwCはビジネス・テクノロジー・セキュリティ分野の経営層を対象に、サイバーリスクに関する調査(Global Digital Trust Insights)を、20年以上継続して実施しています。
2024年度は、今後12~18カ月間における組織内のサイバーセキュリティ向上をテーマに据え、71カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,876名を対象に調査を行いました。
本稿では調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
グローバル各国はAI、サイバーセキュリティ、プライバシー保護、製品セキュリティなどデジタル分野において、企業のビジネスモデルの変革を迫る法令を次々と制定しています。ビジネスに影響を与えるこのような法令は、今後も増加の一途を辿るでしょう。
Global Digital Trust Insightsの調査によると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識しており、ビジネスへの多大なインパクトが読み取れます(図表1)。
こうした状況下では、経営陣(C-suite)は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価することが求められるでしょう。
しかし、デジタル分野の法規制が与える組織への影響について、経営陣の認識は一意ではありません。
例えば、「法執行機関への報告義務への対応」に関する規制について、「大幅なコンプライアンスコスト増加や業務改革に迫られている」と答えた割合は、CISOなどのセキュリティリーダーで60%、一方CEOなどのビジネスリーダーでは25%と、大きな乖離があります(図表2)。
このような認識の乖離が生じる背景には、法規制あるいはその影響についての情報格差があると考えられます。デジタル分野の法令には、専門用語を用いて技術的実装を求める難解なものもあるため、従来の法令と比べてビジネスリーダーに伝わる情報に格差が生じやすい傾向があります。
このようなデジタル分野の法令に関するビジネスリーダーとセキュリティリーダー間の情報格差を生むものとして、主に以下の要因が考えられます。
デジタル分野の法規制に関するビジネスリーダーとセキュリティリーダー間の情報格差を埋め、課題を解決するためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。
近年、ビジネス視点でセキュリティ業務を担うBISO(Business Information Security Officer)の設置がグローバル企業を中心に進んでいます(図表3)。実際に、日本においてBISOを一部でも導入している企業の割合は約83%と、グローバル平均である約76%を超える高水準となっています(図表4)。
一方で、全ての企業がBISOを最大限活用できているとは言い切れません。回答者のうち、BISO導入の効果を実感している割合は約23%と低く、BISOの設置が形骸化してしまっている可能性が考えられます。
BISOの実効性を高めるためには、以下の対策を通じて、BISOに組織横断的な働きかけの促進を求めることが重要です。
本調査の結果を基に、規制の影響に関して組織内で情報格差が生じている現状と、その解消方法であるBISOを形骸化させない方策を提示しました。
2024年にサイバーセキュリティが直面する大きな変化に対してスピーディかつダイナミックに対応するため、BISOがセキュリティリーダー(CISOなど)とビジネスリーダー(CEOなど)の橋渡し役として、情報格差を埋める働きをすることが重要です。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって現状を理解する一助となり、企業のセキュリティ強化に寄与することができれば幸いです。
