アクセンチュア、半数以上の企業がサイバー攻撃を効果的に防御できていないと発表

アクセンチュアは、日本を含む世界18カ国における大企業の経営幹部4,700名以上を対象に、企業のセキュリティに関する調査を行い、その結果をまとめた年次調査レポートを発行した。

このレポートによると、55%の大企業が、サイバー攻撃に対する効果的な防御策、迅速な検知・対応・復旧、および被害の軽減を実行できていないという。

例えば、「サイバー攻撃手法が絶え間なく進化を続ける中、対応コストを維持できない」と考えている回答者は81%と、前年の69%から増加した。

また、82%が「この一年間でサイバーセキュリティへの投資を拡大した」と回答している一方で、データ、アプリケーション、サービス、ネットワーク、デバイスへの不正アクセスが発生した件数は、1社あたり平均270件となり、前年より31%増加している。(トップ画参照)

アクセンチュア・セキュリティのグローバル統括を務めるケリー・ビッセル氏(Kelly Bissell)は、次のように述べている。

「標準的なサイバー攻撃者から高度な技術を持つ政府系ハッカー集団まで、あらゆるサイバー犯罪者が、さまざまな攻撃手法を生み出しています。アクセンチュアの分析では、ビジネス成果を追求してサイバーセキュリティを軽視している企業は、リスクに直面しやすいことが分かっています。適切なバランスを取ることは容易ではありません。サイバー脅威の状況を明確に把握した上で、ビジネスの優先課題の対応と成果創出との両立を図っている企業は、より優れたサイバー攻撃に対する耐性を有しています。」

また、このレポートでは、サプライチェーンを介した企業への不正アクセスなど、間接的攻撃の被害が増加傾向にある現状を紹介しており、自社のみならずエコシステム全体でサイバーセキュリティを強化する必要性を指摘している。

例えば、企業の67%が「自社のエコシステムは安全である」と考えている一方で、この一年間のサイバー攻撃のうち間接的攻撃は61%を占めており、前年の44%から増加している状況だ。

そうした中、今回の調査により、優れたサイバー攻撃に対する耐性を備えるだけでなく、ビジネス戦略と連携させることで、ビジネス成果やサイバーセキュリティの投資効果を高めている企業群の存在が明らかになったという。

こうした企業をこのレポートでは「サイバー先進企業」と定義しており、その多くが以下の取り組みを実行している。

  • サイバーセキュリティ対策と事業目標のバランスを重視
  • CEOや取締役会への報告体制、ならびにビジネス部門とCFOとの緊密な連携体制を構築
  • サイバーセキュリティ戦略の策定にあたり、CEOやCFOとの協議を頻繁に実施
  • データ漏洩を防ぐ対策を実施
  • クラウド戦略の中にセキュリティ対策を導入
  • サイバーセキュリティプログラムの成熟度評価を、少なくとも年に1回以上実施

アクセンチュア・セキュリティでグループ・テクノロジー責任者を務めるジャッキー・フォックス氏(Jacky Fox)は、セキュリティ対策をする上での企業間連携について、

「ビジネス目標との連携を図ることなくサイバーセキュリティへの投資を強化しても、企業の安全性が高まるわけではありません。サイバーリスクを管理する上で、ビジネス成果とサイバーセキュリティのどちらか一方に注力することは避けるべきです。個別にセキュリティの取り組みを進めることは得策ではありません。企業が持続的かつ測定可能なサイバーレジリエンスを実現するために、最高情報セキュリティ責任者は、業務リスクや優先事項などを全方位的に評価できるよう、組織内の適切な経営幹部と連携する必要があります。」と述べている。