{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
人工知能(AI)、コネクテッドデバイス、クラウド技術の進歩に伴い、アタックサーフェスの拡大が続いています。また、規制環境は常に変化しています。このような状況下、企業レベルでのサイバーセキュリティレジリエンスの構築が不可欠です。
これらの課題の存在については幅広く認識されているものの、依然として解消していない大きなギャップがあります。CxOは、自らの組織を保護するために、日常的な課題としてサイバーセキュリティに取り組むとともに、戦略的意思決定に際しては、常にこれを念頭に置いて、CxOの連携を求める必要があります。
PwCが世界77カ国のビジネスリーダーおよびセキュリティリーダー計4,042名を対象に実施した「Global Digital Trust Insights 2025」調査によると、サイバーセキュリティレジリエンスを構築するために、企業は大きなギャップを解消しなければならないことが明らかになりました。
- サイバーセキュリティレジリエンスの実装におけるギャップ:サイバーセキュリティリスクの懸念は高まっていますが、調査対象の全項目について、サイバーセキュリティレジリエンスに向けた対応が全社的に実行されていると回答したCxOは、全体の2%に過ぎません。
- 準備態勢におけるギャップ:クラウド関連のリスクや第三者によるデータ漏洩などは、組織のサイバーセキュリティ上で最大の懸念事項です。しかし、組織は、これらに対する取り組みが最も遅れていると認識しています。
- CISOの参画に関するギャップ:戦略的な計画の策定、取締役への報告、テクノロジーの導入管理に、CISOがかなりの程度参画していると回答したCxOは、全体の半数を下回っています。
- 規制遵守に関する自信のギャップ:特にAI、レジリエンス、重要インフラに係る規制をどの程度まで遵守できるかについて、CEOとCISO/CSOとの間で、自社の能力に対する自信に格差が認められます。
- サイバーセキュリティリスクの計測におけるギャップ:CxOは、サイバーセキュリティリスクの計測が重要であること認識しています。しかし、このような計測を効果的に行っているのは全体の半分を下回り、さらに、財務上の影響について相当程度に把握できているのは、全体の15%に過ぎません。
以上からも、サイバーセキュリティレジリエンスの強化を図るために、CxOの連携強化と戦略的な投資が必要とされることは明らかです。このようなギャップを解消し、サイバーセキュリティを事業経営の根幹に据えることで、より安全な将来に向けた橋渡しができるのです。CISOは、テクノロジーに裏付けされた知見を共有するとともに、サイバーセキュリティ上の重点項目について、コスト、機会、リスクといったビジネス的観点から説明することによって、今回得られた結論の推進に向けて貢献することができます。
サイバーセキュリティの脅威を乗り越える:準備態勢の構築に向けた認識の共有
サイバーセキュリティを取り巻く環境が進化を続ける中、ますます不安定で予見し難くなる脅威を前に、組織が対策を講じるのは容易ではありません。クラウド、AI、コネクテッドデバイスへの依存が強まり、第三者頼みの案件が増えるにつれ、アタックサーフェスが拡大しています。こうした状況においてレジリエンスを構築するには、全社的で迅速な対応が求められます。組織の重点項目と準備態勢の構築との調整を図り、セキュリティの維持と事業の継続性を確保することが不可欠です。
最も懸念される脅威への準備が不十分
組織にとっての最大の懸念事項は、準備が最も遅れている事項と言えます。サイバーセキュリティに関する最大の懸念事項として挙げられた上位4項目は、クラウド関連の脅威、ハック・アンド・リーク攻撃、第三者による漏洩、コネクテッドアイテムへの攻撃でした。これらの脅威は、セキュリティリーダーが最も対応が遅れていると認識しているものでもあります。このように、脅威の実態と組織の体制整備状況との間にギャップが見られることから、投資の強化と対応能力の充実が急務とされる実情がうかがわれます。
「サイバーセキュリティとレジリエンス強化の取り組みの手を休めてはいけません。犯罪者や国家のアクターは、IDおよびアクセス管理の弱点や、パッチを適用していないデバイス、不適切なセキュリティ設定など、保護されていない『縫い目』を見つけ出すスキルを高めています」
サイバーセキュリティの脅威と準備態勢
(上位3項目の構成比)
CxOに対する行動の呼びかけ
自社のビジネスを最も危うくする脅威について、他のCxOに明確に説明します。とりわけ、投資活動に軌道修正を要する場合に重要です。
CROとの対話をもとに、ある脅威によって情報やインフラの全般的な安全にダメージが及ぶ可能性がどの程度あるか、また、レジリエンスの構築上、最大の障害となるのはどのような脅威であるかを見極めます。
CISOやCROとのコミュニケーションを通じて、サイバーセキュリティにおいて重点的に取り組むべきリスク管理と優先すべき投資対象に関する理解を深めます。
CROやCISOとの定期的な面談を通じて、当該分野のCxOが最も懸念する脅威ベクトルについて認識するようにします。脅威を低減するために現在実行している取り組みについて、定例報告を受けることが重要です。
組織が直面する最大のサイバーセキュリティリスクについて理解し、経営陣に対して厳しい質問を投げかけます。その内容は、「リスク低減に向けてどのような措置が講じられているのか」「先を見越したリスク対策の実行やインシデント発生時の対応のために、適切な計画と十分な予算配分がなされているか」などです。
生成AIと新たなテクノロジー:機会とリスクのバランス
生成AIの急速な進歩によって、幅広い産業で新しい機会が生み出されています。しかし、それと同時にサイバーセキュリティリスクも高まっています。生成AIなどの新技術の導入が進むにつれて、組織のCxOは、より複雑で予見が困難なさまざまな課題に直面しています。このような課題として、攻撃ベクトルや統合への障害に加え、生成AIがサイバーセキュリティにおいてディフェンスとオフェンスの双方の性質を有していることも挙げられます。
「サイバーセキュリティは、多分にデータサイエンスの問題と言えます。サイバーディフェンダーにとって、生成AIと機械学習によってデータに近づき、タイムリーで即座に利用でき、最も重要な知見を活用できるようにすることが喫緊の課題となりつつあります」
サイバーセキュリティディフェンスにおける生成AIの活用:機会と課題
生成AIに起因するサイバーセキュリティリスクのアタックサーフェスの拡大は大半の組織が経験していますが、CxOは、生成AI技術をサイバーセキュリティディフェンスの目的でも利用しています。生成AIの活用事例としては、脅威の検知と対応、脅威インテリジェンス、マルウェアフィッシング検知がトップ3を占めています。
CxOに対する行動の呼びかけ
テクノロジー資産全般にわたる標準化を進め、AIの実装を推進します。各々のユーザーに個別のアクセス権を付与することにより、潜在的な攻撃ベクトルを特定します。
投資と実装の実効性を最大化する投資項目についてビジネスリーダーを啓発できるよう、AIの影響診断を開発します。生成AIの利用増を念頭に、スケーラビリティを考慮したプラットフォームを設計します。
CISOと連携して、財務データの保護におけるセキュリティと機密性の確保に重点的に取り組みます。
プライバシー法および規制当局のガイダンスに照らして、データガバナンスプロトコルを強化し、あらゆるデータプライバシーリスクを評価します。
リスクやコンプライアンスを担当する他部門と連携し、データの不正な二次利用や法的措置のリスクを防止します。
高度に規制されたサイバーセキュリティの世界:貴社の準備態勢は万全でしょうか
規制の枠組みで定められる要件は増加をたどっていますが、企業は速やかにこれに適合しなければなりません。デジタル・オペレーショナル・レジリエンス法(DORA)、サイバーレジリエンス法、欧州AI規制法(AI Act)、重要インフラに関するサイバーインシデント報告法(CIRCIA)、シンガポール・サイバーセキュリティ法をはじめ、新たな規制が次々と打ち出されています。こうした事実からも、組織における旧来の慣行を、高度化する要件に整合させることが急務とされている状況が分かります。規制に基づく監視と新たな脅威の双方に応えることができる、レジリエントで規制適合的なサイバーセキュリティ体制を整備するには、このような課題への取り組みが不可欠です。
自信のギャップ:サイバーセキュリティの遵守能力に関して、CISOは、CEOほど自信を持っていない
サイバーセキュリティに関する規制は組織に有益であると確信している場合でも、自社がこのような規制をどの程度まで遵守できるかという点において、CEOとCISO/CSOとの間には、顕著な自信の相違が存在します。
このような相違は、AI、レジリエンス、重要インフラの要件の遵守に関する認識で特に目立っています。サイバーセキュリティの最前線に立つCISOは、自らの組織がこのような規制の要件を満たせるかに関して、CEOよりも悲観的な見方をしています。
組織の規制遵守に関する信頼度
遵守できると強く確信するCEOとCISO/CSOの構成比(%)
CxOに対する行動の呼びかけ
他の経営幹部に対して、各産業や担当地域のニーズに直接的な影響を及ぼす規制の動向に関する報告を頻繁に行います。また、テクノロジーの変化や規制改正の管理プロセスに係る業務を遂行します。
サイバーセキュリティリスク管理に関する全ての規制上の開示について、正確性、完全性、防御可能性を検証し、セキュリティ体制の計画を策定します。サイバーセキュリティリスク定量化を取り入れ、正確に診断し潜在的なリスクを周知することによって、サイバーセキュリティ・インシデントがもたらす重大性と具体的な影響について明確に理解できるようにします。
異なる事業部門にまたがる所要の調整を含め、コンプライアンスの取り組みを指導する監督責任について理解します。規制遵守に関する知識の格差を解消するために、CISOに対して問いかけるべき内容を特定します。
規制遵守の要件に関する最新動向を常に把握します。また、CISOやCROと連携して遵守状況を定期的に確認すべく、先を見越したコンプライアンス対策やモニタリングを取り入れます。
サイバーセキュリティ・プログラムの報告義務の遂行に必要とされる開示の程度について、透明性と秘匿性とのバランスを考慮しつつ決定します。
取締役:新たな規制の要件に関する最新の動向を把握し、新たな要件に対処するために経営陣が検討を進めている積極的方策について報告を求めます。サイバーセキュリティ・インシデントの診断と開示に対する経営陣の方針について理解します。
サイバーセキュリティリスク定量化の可能性を切り開く:貴社が躊躇している原因は?
サイバーセキュリティの脅威は急速に範囲を拡大し、ますます巧妙になっています。こうした中で、サイバーセキュリティリスク定量化は、組織にとって看過できない必須のツールになっています。そのメリットは広く認識されていますが、データの質の問題やアウトプットの信頼性など、いくつかの課題も残されていることから、幅広く採用されるには至っていません。
サイバーセキュリティリスクの計測は不可欠ながら限定的
サイバーセキュリティリスクに関する重点投資分野の決定に当たりリスクの計測が不可欠とする回答が全体の88%、最もリスクの高い分野にリソースを配分するとの回答が全体の87%に達するなど、CxOの見解は大筋で一致しています。しかし、かなりの程度までこれらを実行(例:自動化および広範囲にわたるレポート作成による大規模なサイバーセキュリティリスク定量化)していると回答した組織は15%に過ぎません。
CxOに対する行動の呼びかけ
具体的なアウトプットを念頭に置きながら、手の届くところからスタートするよう心がけます。あなたの組織内で入手可能な情報を有効活用します(例:コントロールの有効性、成熟度、インシデントや損害のデータ)。新しいツールがリスクの定量化に役立つことがありますが、これは必要条件ではありません。自らの計画を定義して、そのプランの実現に役立つ技術を探求します。
定量化ツールや定量化業務から得られる財務リスクの測定結果の中で、最も影響が大きいものをCxOに提示します。このような事例を挙げることは、最もリスクが高い分野に適正なリソースを重点的に配分するよう、組織のリーダーを説得するために有用です。
CISOやCROとの共同作業を通じて、サイバーセキュリティリスク定量化が会社の事業にもたらす価値、その潜在的なコスト、リスクを計測しないことで失われる機会についての理解を深めます。
サイバーセキュリティリスクの診断を行うためにあなたの組織で現在利用されている方法について理解します。経営陣に対して、もっと広範なリスク定量化計画を実行して、あなたの企業のサイバーセキュリティリスク体制に関する診断をより的確に行い、報告するよう求めます。
レジリエンスへの投資によるトラストの構築
事業において看過し得ない重点項目として、サイバーセキュリティの位置づけは上昇し続けています。また、組織では、サイバーセキュリティは差別化の秘訣であり、企業の評判とトラストを向上させる手段としての可能性を有していると考えられ始めています。これに備えて、特にデータの保護とデータのトラストを中心に、多くの組織がサイバーセキュリティ予算を増額しています。このような分野に戦略的な投資を行うことで、企業はレジリエンスを強化するだけではなく、顧客とのポジティブな関係性も築いているのです。
最も問題の多い分野に投資:クラウドとデータのトラストは密接に関連
各組織では、今後12カ月にわたり、他のサイバーセキュリティ投資に優先して、データの保護・トラストとクラウドセキュリティに注力するとしています。ステークホルダーの信頼とブランドインテグリティを維持するためには、センシティブ情報の保護が不可欠であると認識されています。
ビジネスリーダーやセキュリティリーダーは、その職務に応じて具体的に取り組むべき項目の優先順位を整理しています。
- ビジネスリーダーの48%は、サイバーセキュリティ投資における最重点項目はデータの保護やトラストであると回答しています。これに次いで、技術の近代化や最適化とする回答が43%となっています。
- セキュリティリーダーについては、昨年の傾向と変わらず、クラウドセキュリティが34%で最上位を占め、次いで、データの保護とトラスト(28%)となっています。
サイバーセキュリティとトラスト:新たな競争力の源泉
サイバーセキュリティは、より多くの組織で、競争上優位に立つための差別化の重要な手段であると見なされるようになっています。例えば、影響をもたらす要素として、CxOの57%が顧客の信頼を、また49%がブランドインテグリティとブランドロイヤリティを挙げています。サイバーセキュリティの脅威がエスカレートする中で、強力なサイバーセキュリティ体制を構築することは、単なる防護の強化にとどまるものではありません。それは、顧客や利害関係者から頼りにされる評判を築くことでもあるのです。
競争上のアドバンテージとしてのサイバーセキュリティの位置づけ
(「かなりの程度」を選択した回答者の構成比%)
「多方向から脅威が押し寄せ、物理的環境とデジタル環境の双方が脅かされるなど、組織を取り巻く脅威の状況は、ますます予見し難くなっています。物理的なセキュリティとサイバーセキュリティの強化を目指して、統合対応と復旧のためのリソースに投資しています。脅威アクターは攻撃対象を選びません。事業の継続性とレジリエンス計画のあらゆるレベルで、攻撃への備えができていなければなりません」
CxOに対する行動の呼びかけ
主な成果のビジネス価値(例:ミッションクリティカルなデータの復旧に要する時間の短縮、システムのパッチング)に基づいて、データ保護とクラウドセキュリティにおける重点投資項目に係るビジネスケースを、分かりやすくCFOに説明します。
利害関係者のトラストを獲得するとともに、より情報に基づいた形でサイバーセキュリティ投資に係る意思決定を行い得るように、データ保護やクラウドセキュリティがどの程度のビジネス価値を有するか決定します。
テクノロジー、セキュリティ、財務の各分野のCxOと連携して、データの安全性と完全性において最も重視すべき項目を絞り込み、情報投資やクラウドセキュリティ投資戦略の指針とします。セキュリティ投資を増額するには、データの質や体制の整備状況を確認する必要があります。
貴社のサイバーセキュリティ戦略とリーダーシップは、レジリエンス強化を効果的に推進できているでしょうか
レジリエンスへの取り組みが停滞していることから、戦略的意思決定へのCISOの参画が進捗しないことに至るまで、戦略的な調整を要する分野が残されていることは明らかです。レベルアップを図るには、サイバーセキュリティの最先端を走る組織において実行されている手法を取り入れるべきです。さらに、既知の脅威に対処するにとどまらず、アジャイルでセキュア・バイ・デザインの手法をビジネスに取り入れることにより、トラストを構築し、永続的なレジリエンスを目指すことが重要です。
「組織に内在する脅威について説明し、このような脅威を組織の脆弱性と結びつけることは、CISOの責務です。これは、既に企業として対処する備えができている脅威とそれ以外のものについて、関係者を啓発することを意味します。教育推進型のアプローチをとることにより、組織全体にわたって連携が強まる傾向があります」
部分的な実装だけでは不十分
サイバーセキュリティリスクに対する懸念は高っているものの、自社の主要な活動全体をカバーするサイバーセキュリティレジリエンスを完全に実行することは、多くの企業にとって依然として容易ではありません。関係者、プロセス、テクノロジーの全般をカバーする12項目のレジリエンス活動について実施した調査において、自らの組織ではこのような活動のいずれか1つを完全に実行していると回答したCxOは全体の42%(またはそれ以下)にとどまりました。さらに懸念されることは、この12項目のレジリエンス活動が組織全体にわたって完全に実行されているという回答がわずか2%しかないことです。このような状況から、顕著な脆弱性が手つかずのまま残されていることがうかがえます。すなわち、企業全体をカバーするレジリエンスがなければ、活動の全てを危険に陥れかねない脅威の増大という、憂慮すべき事態に晒され続けるということです。
以下に例示するのは、組織横断的に検討すれば効果が高いと期待される主な分野です。
- レジリエンスチームを編成(組織横断的にこれを実行していると回答したCxOは、全体の34%のみ)
- ITロスの可能性に備えたサイバー・リカバリー・プレイブックの作成(組織横断的に実行しているとの回答は全体の35%のみ)
- テクノロジー依存状況のマッピング(組織横断的に実行しているとの回答は全体の31%のみ)
組織全体をカバーするサイバーセキュリティ
レジリエンス活動の実行
CISOの地位の向上:戦略とセキュリティの整合化
組織の重要な取り組みにCISOを十分に参画させていないことにより、多くの組織が、またとない機会を逃しています。サイバーセキュリティ投資に関する戦略的な計画の策定、取締役会への報告、テクノロジーの導入管理にCISOが概ね参画していると回答したCxOは、全体の半数を下回ります。このような齟齬が存在すると、組織における戦略の整合性が損なわれ、セキュリティ体制の弱体化につながります。
事業活動にCISOが「かなりの程度」参画
CxOに対する行動の呼びかけ
他のCxO向けのビジネスケースを作成し、サイバーセキュリティリスクの緩和を目的とする戦略、計画および監督、ならびにレジリエンス戦略にCISOが参画することが不可欠である理由を説明します。
サイバーセキュリティレジリエンスの診断とその演習に参画し、主要な活動、基準および管理の統合を進めるに当たってCISOが直面することが想定される齟齬やその手法に関する理解を深めます。
あなたの組織のサイバーセキュリティリスクや組織が直面する脅威をはじめとして、サイバーセキュリティリスク計画の策定に関する情報を常に入手し、拡大する監督・管理責任に応えられるようにします。
CxOプレイブック:サイバーセキュリティレジリエンスにおけるギャップの解消
「Global Digital Trust Insights 2025」調査結果より
本調査について
「Global Digital Trust Insights 2025」は、2024年5月から7月にかけて、ビジネスリーダーおよびセキュリティリーダー4,042名を対象に実施した調査です。
回答者の4分の1は売上高50億米ドル以上の大企業のCxOです。回答企業の業種は、製造・サービス業(21%)、テクノロジー・メディア・通信(20%)、金融サービス(19%)、小売・消費財(17%)、エネルギー・ユーティリティ・資源(11%)、ヘルスケア(7%)、政府・公共サービス(4%)と多岐にわたっています。
回答者は77カ国に拠点を置いており、その地域別分布は、西欧(30%)、北米(25%)、アジア太平洋(18%)、中南米(12%)、中・東欧(6%)、アフリカ(5%)、中東(3%)となっています。
「Global Digital Trust Insights」調査は、以前は「グローバル情報セキュリティ調査(GSISS)」として知られていたものです。今年で27年目を迎える本調査は、サイバーセキュリティの動向に関する年次調査として最も長い歴史を有しています。また、サイバーセキュリティ業界で最大規模の調査でもあり、セキュリティリーダーだけでなく、シニアビジネスリーダーの参画を得ている調査としても他に類を見ないものです。
本調査は、PwCで世界の市場調査とインサイト提供を担当するCentre of ExcellenceであるPwCリサーチが実施しました。
本コンテンツは、Bridging the gaps to cyber resilience: The C-suite playbookを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
Global Digital Trust Insightsの調査結果から、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説したレポートは、3月下旬に公開予定です。
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
