KPMGコンサルティングは1月19日、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2022」を発表した。有効回答数は285件。
同調査は、KPMGコンサルティングとKPMG FASが共同で「サイバーセキュリティ」「リモートワークセキュリティ」「制御システムセキュリティ」をテーマに実施したもの。「リモートワークセキュリティ」は今回新設されたテーマだ。
「サイバーセキュリティ」「リモートワークセキュリティ」については、Technology Risk Services パートナーの薩摩貴人氏が説明を行った。同氏は、今回の調査について、「サイバーセキュリティの評価フレームワークのデファクトスタンダードであるNIST CSF(サイバーセキュリティフレームワーク)を意識したつくりとすることで、ベンチマークとしての活用も期待している」と述べた。
回答企業の30.5%が「過去1年に過去1年間にサイバー攻撃あるいは不正な侵入を受けたことがある」と回答したが、前回調査(2019年)の21.1%から大幅に増加したという。
一方、65.6%の企業が「サイバーセキュリティ対策への予算が不足している」と回答、79.0%が「情報セキュリティ人材が不足している」と回答している。こうした結果から、セキュリティに関する予算と人材の不足が原因で、日本企業においてサイバーセキュリティ対策の導入がなかなか進んでいないと同社は見ている。
また、「サイバーセキュリティ」については、NISTのサイバーセキュリティフレームワーク(CSF)の5つの機能に沿って、回答の傾向が整理されている。薩摩氏はこの傾向について、次のように説明した。
「検知に関しては、回答企業の約半数(54.4%)がSOCを導入していないと回答しているほか、対応に関しては、34.3%しかCSIRTを設置していない。人材不足を踏まえると、検知・対応においては自動化がカギとなる。しかし、SOARなどの自動化製品の導入率はは低い。昨今の状況を考えると、インシデントの発生は避けられず、インシデントが発生したらいかに早く復旧するかがカギとなる。訓練することで、復旧対応に対する意識は高められる」
また、サイバー攻撃の被害に関しては、30.5%の企業で攻撃の痕跡が確認されており、被害を受けた攻撃は、ランサムウェアが26.4%でトップとなっている。
サイバー攻撃の被害状況としては、「経済的な損失が発生した」「業務やシステムが著しく遅延・中断した」という回答が多く見られた。損失費用の合計額は、100万~1,000万円未満が最も多いが、1億円以上の損失被害も発生しているという。
2021年度のサイバーセキュリティ対策への投資額は、2020年度に比べて「横ばい」「増加」と答えた企業が96.9%に上り、全体としては増加傾向にある。ただし、IT予算におけるサイバーセキュリティ対策予算の比率が10%未満の企業は62.1%に上り、65.6%の企業が投資額が十分ではないと回答している。
2つ目のテーマである「リモートワークセキュリティ」に関しては、回答企業の75.1%が在宅勤務を導入していることがわかった。ただし、50.5%の回答企業が従業員による内部不正を懸念しており、在宅勤務率が高いほど、内部不正を懸念する企業が多い傾向が見られるという。
薩摩氏は、リモートワークのセキュリティにおける課題について、「内部不正は、ITとコンプライアンスの2つの観点から取り組む必要がある。また、『モニタリングする仕組みをどうするか』『モニタリングした結果をどうするか』といったことをあらかじめ決めておく必要がある」と述べた。
3つ目のテーマである「制御システムセキュリティ」については、Technology Risk Services シニアマネジャー 保坂範和氏が説明した。同氏は冒頭、「調査結果から、海外と比べると、日本の工場のセキュリティ対策は遅れていることがわかった」と語った。
日本の場合、「攻撃経路がわからない」という回答が42.7%に上っているうえ、アセスメントおよび監視のいずれも海外に比べて導入率が低くなっている。アセスメントに関しては、海外では52.9%が少なくとも年に1回以上実施しているのに対し、日本は39.5%が「実施していない」、27.9%が「わからない」状況となっている。
また、監視に関しては、海外では監視を実施している企業は30.3%、パイロットや実施予定も含めると9割近くとなっているのに対し、日本で監視を実施している企業は9.3%にとどまり、また計画していない企業が47.7%と、ほとんど実施されていない状況にある。
保坂氏は、制御システムセキュリティが進んでいない原因として、「知見・人的リソースが不足していること」「主管組織が曖昧であること」を挙げ、企業にとってセキュリティ人材の確保・育成は課題となっていると指摘した。