アドバイザリー

EY グローバル情報セキュリティサーベイ

「EY グローバル情報セキュリティサーベイ(GISS)」とは、EYが実施するグローバル規模の情報セキュリティに関する調査です。
情報セキュリティの重要な課題について、さまざまな局面における判断に有益な情報を提供することを目的としています。
本年で21年目を迎える当サーベイは、この種の調査では最も信頼と実績を有するものの一つです。

「防御」のその先へ
EY グローバル情報セキュリティサーベイ 2018-19より

サイバーセキュリティの未来

一連の大規模なサイバーセキュリティ侵害や国家主導の介入をめぐる継続的な応酬が企業を動揺させたこの1年でした。本年度のEYグローバル情報セキュリティサーベイ(GISS)はサイバーセキュリティが依然として取締役会での上位検討課題であることを示しています。サイバーセキュリティを強化するため、組織はより多くのリソースを費やし、"セキュリティ・バイ・デザイン"として情報システムの企画・設計段階からセキュリティに取り組むようになりました。

一方、調査対象組織の87%が、自身が望む水準のサイバーセキュリティやレジリエンスを実現するための予算を十分に確保できていませんでした。対策は網羅的でなく、先進的な取り組みを実施している組織も相対的に少なく、セキュリティに関する取り組みや情報の部門間連携は依然として不十分であることが分かりました。

組織は、以下の3つの点に注力が必要です。

  • 組織の保護:資産を特定し、防衛線の構築に注力する。
  • サイバーセキュリティの最適化:既存の保護を強化するために、価値の低い活動を停止し、効率化や先端技術、革新技術への再投資に注力する。
  • 成長の実現:デジタルトランスフォーメーションの重要な成功要因としてほとんどの企業が現在進めているセキュリティ・バイ・デザインの実践に注力する。
※画像をクリックすると拡大します。

組織の保護

我々の分析は、77%もの組織が依然として限られたサイバーセキュリティやレジリエンスしか有していないことを示しています。こうした組織は、最も重要な情報や資産が何で、それがどこにあるかを把握できていないかもしれません。また、それらの資産を保護するための適切な防御策も講じていないかもしれません。

主要なデータや知的財産(「クラウンジュエル」)を特定し、サイバーセキュリティの機能やアクセス管理プロセスなどの防御策を確認し、最終的には企業を保護するための機能を向上させる必要があります。

サイバーセキュリティの予算は増加しています。今年度及び次年度の予算が増加すると回答したのは、小規模な企業ではそれぞれ50%及び66%であったのに対し、大規模な企業ではそれぞれ63%及び67%であり、大規模な企業の方が予算を増加させる傾向にあります。

最も価値のあるものは何か

組織が保護すべきと考える最も価値の高い情報の上位3つが、顧客の個人情報、財務情報、経営基本計画であることは驚くことではありません。

最下位はサプライヤー(部品やサービスの供給元)やベンダーを特定可能な情報でした。サプライチェーン全体を包括的に守るためには、依然として何らかの活動が必要であることを示しています。

最大の脅威は何か

最も成功した(そして組織にとって脅威となる)サイバー侵害は、フィッシングとマルウェアを端緒としています。第3位はシステム障害を生じさせることを目的としたサイバー攻撃で、次にランクインしたのが金銭搾取を目的としたサイバー攻撃でした。

内部者による脅威や国家によるサイバー攻撃については多くの議論が行われてきましたが、内部者による攻撃は懸念事項リストの第8位にとどまりました。

外部委託には本質的に数多くの脆弱性が潜んでいることに注意が必要です。しかし、外部委託に由来する脅威のリスクを認識していたのは36%の組織でした。つまり、64%の組織にはこの問題が見えていないということです。

組織は、実際に深刻な悪影響をもたらす侵害やインシデントを経験しない限り、自らサイバーセキュリティを強化したり、サイバーセキュリティに費用をかけようとしたりはしません。63%の組織は、侵害を経験しても損害を被らなければ支出を増やすことにはつながらないと回答しています。多くの組織は、自組織への侵害やインシデントを特定できているのか、明確に把握できていません。この1年でインシデントを被った組織のうち、セキュリティオペレーションセンターで不正アクセスを発見できたと回答した組織は3分の1を下回りました。

※画像をクリックすると拡大します。

サイバーセキュリティの最適化

今年度のGISSの結果は、組織の77%が、基本的なサイバーセキュリティ対策を導入する段階から、その機能を微調整していく段階に前進しつつあることを示しています。これらの組織は引き続きサイバーセキュリティの基本に取り組んでいますが、より効果的かつ効率的にビジネスをサポートするためにサイバーセキュリティの枠組みとアーキテクチャに関する検討も始めています。しかし、組織の情報セキュリティ機能がニーズを十分に満たしていると回答した組織は1割にも満たず、また、多くの組織は必要な改善にまだ着手できていないと懸念しています。

全体的にみると、組織の92%は主要分野における情報セキュリティ対策に懸念を抱いています。リソースは重要な問題となっているようで、組織の30%はスキルを有する人材の不足に、25%は予算の制約に悩まされています。

また、情報セキュリティに関する報告が現時点で全面的に期待に沿うものだと回答した組織は、わずか15%にとどまりました。

※画像をクリックすると拡大します。

成長の実現

組織は、デジタルトランスフォーメーションの流れの中にあります。組織ごとに変革の内容は異なるものの、顧客向けオンラインセールス/サポート、サプライチェーンの統合、RPA、AI、ブロックチェーン、アナリティクスの応用、ビジネスモデルの破壊的変革、働き方改革といった要素のうち、一つ以上を含んでいます。

組織は、今やデジタル時代で成功するためにはサイバーリスクに配慮し、最初の段階からサイバーセキュリティを構築することが不可欠であると確信しています。その目的は、セキュリティをビジネスプロセスに最初の段階から統合し組み込むことで、すべての人にとってより安全な職場環境を構築することです。最先端技術が主役となった今、セキュリティ・バイ・デザインは重要な原則です。この目標を達成するには、組織は、問題が起きてから、その部分だけに対応するのではなく、革新的なサイバーセキュリティ戦略を構築しておく必要があります。

しかしながら、最先端技術(クラウドの他、RPA、機械学習、AI、IoTの領域)を利用することにより生じる脆弱性について懸念している組織は、少数にとどまることが分かりました。

組織の70%は、トップマネジメント層がセキュリティを全面的に理解しているか、理解を深めるため積極的に対策を講じていると回答しています。情報セキュリティの最終的な責任は、組織のトップレベルが負うことが多くなっています。組織の40%が取締役会メンバーまたは経営層のいずれかが最終的な責任を負っていると回答しました。

※画像をクリックすると拡大します。

拡大し続ける脅威に対する組織の認知度と取組みについてEYが調査を開始してから20年が経過しました。経営層はもちろん、企業のあらゆる層において、この問題に対処する必要性はかつてないほど差し迫ってきています。サイバー攻撃の数は増え、洗練度を増し、その活動範囲を広げています。

組織は、デジタルトランスフォーメーションと新しいテクノロジーから生まれる新たな脆弱性の危険にさらされているのです。

すべての組織は優れたサイバー・ハイジーン(日常的なIT運用の中で実施するセキュリティ対策)や基本的な3つの防衛線モデルによる予防だけをセキュリティの目標とするのではなく、より高度なツールや戦略を用いたインシデント対応の最適化を含めて考える必要があります。

デジタル技術を活用することによって新たな価値を生み出していくデジタルトランスフォーメーションの進化において、サイバーセキュリティはイノベーションや変化を阻むものではありません。むしろそれを後押しする機能を持っていると考えるべきです。

サーベイに興味のあるお客様は、弊社担当もしくは下記のお問合せ先までご連絡ください。

EYアドバイザリー・アンド・コンサルティング株式会社
サイバーセキュリティチーム GISS担当
E-mail:eyacc.cs.info@jp.ey.com

最新のグローバル情報セキュリティサーベイ レポート

過去のグローバル情報セキュリティサーベイ レポート