セキュリティ・コンプライアンス対策への問い合わせ急増

　サイバー攻撃の脅威が拡大する中で、セキュリティの重要性に対する認識も高まっている。それに伴い、特にB2B分野では、セキュリティ対策やコンプライアンス対策の有無・質がビジネスの勝敗を分ける要因になりつつある。

　シリコンバレーのセキュリティユニコーン企業Vantaが2023年11月に発表した調査「State of Trust Report 2023」で、この傾向があぶり出された。

　この調査は2023年9月、米国、英国、オーストラリア、ドイツ、フランスにおける企業の経営層とIT責任者2500人を対象に実施されたもの。同調査では、顧客からのセキュリティ需要が高まっているものの、企業の多くは予算・人員・時間的な制約から、セキュリティ・コンプライアンスに対し十分な取り組みができていない状況が浮き彫りとなった。

　まず注目したいのは、経営層とIT責任者らが感じる重要なステークホルダー側のセキュリティ認識の高まりを示す数字だ。

　「顧客・投資家・サプライヤーから自社のセキュリティやコンプライアンスの取り組みを証明してほしいという問い合わせが増えているかどうか」を聞いたところ、増えているとの回答割合が全体の2/3（66％）に上ることが明らかになったという。

12％の企業が顧客の要望するエビデンスを提出できない

　その際、どのような形でセキュリティやコンプライアンスの取り組みを顧客に説明しているのかという問いでは、「社内で実施した監査レポートを提出する」が44％で最多となった。次いで「第三者よる監査レポートを提出する」が37％、「セキュリティに関する質問表を提出する」が36％、「セキュリティ関連のダッシュボードを提出する」が33％、「自己申告レポートを提出する」が30％だった。

　驚くのは12％の企業がセキュリティ・コンプライアンスの取り組みに関するエビデンスを提出しない、または提出できないと回答したことだ。国別で見ると、この割合は米国が10％で最小、オーストラリアが16％で最大となった。

　Vantaはこの結果を受け、多くの企業がセキュリティ・コンプライアンスに関するエビデンス不足により、顧客企業の要望に応じられておらず、収益機会や市場機会を損なっている可能性があると指摘している。

最も改善が必要とされる対策項目とは？

　一方、経営層とIT責任者ともにこの課題に対しての認識は持っており、セキュリティ・コンプライアンスの改善が急務であると考えていることも同調査で明らかになっている。

　「自社におけるセキュリティとコンプライアンスの対策を改善する必要がある」との回答割合は平均67％と2/3に上ったのだ。国別ではフランスが76％で最大、これに米国が71％、オーストラリアが67％、英国が66％、ドイツが55％で続いた。

　現時点で企業・組織内で最も改善が必要とされるセキュリティ・コンプライアンス項目（blind spot）も明確となった。回答割合が最大となったのは39％の「ID・アクセス管理」。このほか「規制要求に準拠していないデータ処理活動」（38％）、「公式プロセスを経ないIT購入」（32％）、「規制要求に準拠しないビジネスプロセス」（31％）、「管理されていないデバイス」（31％）なども改善が必要な課題として認識されていることが分かった。

【次ページ】セキュリティ・コンプライアンス活動への「制約」