開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/12/15

PDCAではなく「OODA」が必要、サイバー攻撃に即時対応するための5要件とは

EYでは、情報セキュリティに関するグローバル調査「EY グローバル情報セキュリティサーベイ(GISS)」を実施している。調査では日本とグローバル違いについて、日本は内部犯行を疑う傾向があり、サイバー攻撃は単独犯によるものと考えがちという結果が出ている。また、日本ではインシデントが「発生していても検知できていない可能性」があるという。地域に限らず、サイバー攻撃に即時対応するための要件とは何だろうか。

フリーライター 吉澤亨史

フリーライター 吉澤亨史

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。


セキュリティ予算の足りていない日本、減額するケースも

 EYアドバイザリー・アンド・コンサルティングのパートナーである藤井仁志氏は、情報セキュリティに関するグローバル調査から「サイバーセキュリティ予算」「新技術の採用に起因する新たなリスクをどう認識するか」「体制とソーシング(調達)戦略」について説明した。

photo
EYアドバイザリー・アンド・コンサルティング
サイバーセキュリティー パートナー 藤井仁志氏

 サイバーセキュリティ予算について、藤井氏は「セキュリティ予算の増額要望」の結果を紹介した。このグラフは、現状からセキュリティ予算をどの程度の割合で増額したいかを示したものであり、割合が低いほど要望額も低く、現状である程度のセキュリティ体制が整っていることになる。

 グローバル、日本ともに「0~25%」の増加を望む回答が最も多いが、15ポイントほどグローバルの方が高い。また、76%以上の大幅な予算増を望んでいる人の割合は日本がグローバルよりはるかに多かった。このように、日本にセキュリティ対策が整っていない企業が多いと藤井氏は指摘。予算の格差はセキュリティ対策の格差であるとした(図1)。

画像
図1:セキュリティ予算の増額要望(現状比)
(出典:EY 報道発表)


 企業側の予算の見通しについて、今後12カ月でセキュリティ予算を「減額する」という回答は、グローバルでは非常に少ない値だったが、日本では「15~25%減額」との回答が突出して多かった。

 一方、「セキュリティ予算増額のトリガーとなる可能性がかなり低いイベント」、つまりどんな事件があるとセキュリティ予算を上げようと思うかについて、「セキュリティ侵害の発見」が最も低く、組織への影響があるという結果が出た。

 また調査では、サプライヤーや競合他社に対するサイバー攻撃は、セキュリティ予算増額には関係ないという結果を示している。このことから、セキュリティ投資を減らそうとする理由は、「対策しても自社に攻撃や被害がないため」と考えられるとした(図2)。

画像
図2:セキュリティ予算の今後12カ月の見通しと、セキュリティ予算増額のトリガーとなる可能性がかなり低いイベント
(出典:EY 報道発表)


クラウドやIoTの普及が攻撃ポイントを増やす

 「新技術の採用に起因する新たなリスク」を、どのように認識しているかの設問では、そもそも「サイバー攻撃を行う主体を何と想定しているか」について日本とグローバルで差が見られた。日本では攻撃主体が「悪意を持った従業員」と「単独のハッカー」によるものと認識している人が多い。

 日本は、サイバー攻撃について「内部犯罪」を疑う意識が醸成されていることがわかる。一方、藤井氏は「今やサイバー攻撃のほとんどが組織化されており、ハッカーが個人での犯行は少ないという現状を認識していないのでは」と疑問を投げかけた(図3)。

画像
図3:サイバー攻撃を行うのは誰か
(出典:EY 報道発表)


 「組織に過去12カ月で影響を与えた脆弱性」に関する設問では、クラウドコンピューティングに関する脆弱性について、グローバルと日本で顕著な差が現れた。日本ではまだクラウドの利用が限定的であり、今後は基幹系システムのクラウド移行などが進むとこの値は変化する可能性があるとした。

 これはIoTにおいても同様で、IoTの情報セキュリティの課題では、ほぼすべての項目で日本がグローバルを大きく下回り、脆弱性が現れていない(図4)。

画像
図4:IoTの情報セキュリティ上の課題
(出典:EY 報道発表)


 「体制とソーシング(調達)戦略」について、情報セキュリティに責任を負う役職者が取締役会メンバーである割合は、グローバルでは23.7%であるのに対し、日本は64.0%と高い結果となった。一方、藤井氏は「取締役が情報セキュリティに対する知識を保有しているかどうかは、また別である」と指摘した。

 それが顕著に表れたのは「情報セキュリティ管理が成熟していない項目」についてだ。GISSでは「評価指標と報告」「アーキテクチャ」「戦略」「意識向上」「ガバナンスおよび組織体制」の5つにおいてグローバルの倍以上「成熟していない」という回答が集まった。

 藤井氏は、「セキュリティ運用のさらなる底上げ」と、「インシデント(事故などの危機が発生する可能性のある事態)は起こるものという認識」で備える必要があると強調した。

【次ページ】重大なインシデントが発生しても検知できない可能性

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!