10社に1社が過去1年間にサイバー攻撃を受けたと回答、現状把握とリスクの理解が重要に
KPMGコンサルティング、「サイバーセキュリティサーベイ2023」を発表
KPMGコンサルティング株式会社(以下、KPMGコンサルティング)は、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2023」を本日発表した。
コロナ禍を経て社会のデジタル化が一段と進んだ結果、サイバー攻撃もより高度に、かつ巧妙になっている。最近では、脆弱性への対策が不十分な企業や組織への攻撃が増加傾向にあり、データの暗号化や機密データの窃取、さらに、重要データの暗号化に加え、持ち出した機密データで脅迫する二重脅迫型ランサムウェアなどにより、サイバーインシデントによる被害が深刻化している。
6回目となる今回の調査では、回答企業の10社に1社が、過去1年間にサイバー攻撃による被害を受けたと回答している。このような状況において、サイバーセキュリティに関するリスクについて理解を深めるとともに、適時適切に対策を講じるために自社の現状を把握し、どこにリスクが潜んでいるかを理解することが企業を「守る」うえで重要である。
本レポートは、さまざまな業種や規模の企業から得られた回答をもとに、「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI導入およびAI導入に係るリスク管理」の5つのテーマごとにまとめられている。
<注目すべき調査結果>
・サイバー攻撃の実態
子会社や委託先を経由したサイバー攻撃が、本社のシステムへの直接的な攻撃の2倍となっており、サプライチェーン全体でのセキュリティ強化に目を向ける必要がある。
・セキュリティ管理態勢と対策
68.2%の企業がサイバーセキュリティ予算が不足と回答。サイバーセキュリティ人材においては88.8%の企業で不足していると回答。
・海外子会社管理
39.1%の企業が、海外子会社のセキュリティ対策の状況を確認していないと回答。
・制御システムセキュリティ
「成熟度レベル1:プロセスが未整理で文書化されておらず、活動も整理されていない」にとどまる企業が43.4%を占め、グローバルの16.0%と比べ日本企業の対応が遅れが浮き彫りに。
・AI導入およびAI導入に係る管理
71.4%の企業がAIの導入を「計画している」と回答する一方で、AIリスク管理について「整備済み」との回答企業は4.3%にとどまり、AIリスク管理の整備が遅れている状況がうかがえる。
テーマ1:サイバー攻撃の実態
本調査では、回答企業の11.6%が、「過去1年間にサイバー攻撃で何らかの業務上の被害があった」と回答。また、サイバーインシデントによる被害額が「1億円以上」と回答した企業が、2022年に行った前回の調査の1.2%から6.7%に増加し、「1,000万円~1億円未満」でも14.9%から23.3%に大幅に増加しており、被害額が高額化の傾向にあることがうかがえる。
過去1年間に発生したサイバー攻撃の侵入経路については、子会社や委託先のシステムを経由した攻撃が41.5%を占め、本社のシステムへの直接的な攻撃の約2倍となっており、サプライチェーン全体でのセキュリティの強化が不可欠であることが明らかになった。
テーマ2:セキュリティ管理態勢と対策
今回の調査では、最高情報セキュリティ責任者(CISO)やサイバーセキュリティ責任者を設置していると回答した企業は60.9%にとどまった。また、セキュリティ・オペレーション・センター(SOC)を導入していない企業は回答企業の半数以上の55.0%にのぼり、CSIRT(Computer Security Incident Response Team:セキュリティ事故対応チーム)を設置していない企業は72.7%にのぼるなど、セキュリティインシデントの発生に備えた体制の整備については改善の余地が残っていることがうかがえる。
サイバーセキュリティ予算については、回答企業の68.2%が「不足している」と回答している。特に、従業員数が1,000人未満の企業でその傾向が強く、サプライチェーンを構成する中小企業などの取引先におけるサイバーセキュリティ対策に影響をあたえることが懸念される。さらに、サイバーセキュリティ人材については、88.8%の回答企業が「不足している」と回答しており、この傾向は従業員規模にかかわらず、前回の調査よりも増加している。
テーマ3:海外子会社管理
近年、海外を含めた子会社を経由したサイバー攻撃が増えるなか、今回の調査では、39.1%の企業が「海外子会社のセキュリティ対策の取組みを把握していない」と回答しており、子会社における取組みの実態の把握が求められている。また、海外子会社のセキュリティ対策状況の把握方法については、43.4%が「調査票」と回答し、「監査」と「外部のリスク評価サービス」は19.9%と8.0%にとどまり、今後外部サービスの活用やGRC(ガバナンス・リスク・コンプライアンス)ツールの活用が望まれる。
テーマ4:制御システムセキュリティ
今回の調査では、制御システムを利用している企業の43.4%が、セキュリティ成熟度を5段階で評価する指標で最も低い「成熟度レベル1」と回答し、「成熟度レベル4」と「成熟度レベル5」と回答した企業の合計は5.5%にとどまった。一方、グローバルで実施された調査をもとにした「(CS)2AI – KPMG制御システムサイバーセキュリティ年次報告書2022」によると、海外では「成熟度レベル1」の企業は16.0%にとどまっており、海外に比べて日本企業の成熟度が低い傾向が明らかになった。
また、未然に防がれた攻撃を含め制御システムへのサイバー攻撃の経路で最も多かったものは「電子メール」で、前年の16.9%から21.4%へと増えた一方、「マルウェア感染したリムーバブルメディア」が前回の21.3%から6.0%に大幅に減少していることから、他のシステムとのネットワーク接続の増加により、ネットワーク接続での攻撃の可能性が高まっていることがうかがえる。
テーマ5:AI導入およびAI導入に係るリスク管理
AI(人工知能)の導入については、71.4%の回答企業が「導入済み・導入計画あり」と回答し、多くの企業がAIの導入に積極的であることがうかがえる。また、AIの導入を検討している業務内容についての設問では、「質問・問い合せ対応の補助」や「データ分析」といった一般的にAIが得意とされ、かつソリューションの選択肢が多い分野において前向きな検討が行われていることがわかる。一方で、個人情報の取り扱いに配慮が必要であったり、人間の判断要素が大きいと考えられる「採用」や「人事評価」の分野へのAIの導入に前向きな企業は10%程度にとどまり、これらの分野でのAIの導入に抵抗感があることがうかがえる。
AIの導入に係るリスクにおいては、「プライバシー侵害」と「アウトプットの正確性」について「非常に懸念している」と「少し懸念している」を合わせると60%を超える一方、AIリスクを管理する組織やルール、プロセスについて「整備済み」と回答した企業は4.3%にとどまり、AIリスク管理の整備が遅れている状況が明らかになった。
「サイバーセキュリティサーベイ2023」調査概要
名称:企業のサイバーセキュリティに関する調査
対象:国内上場企業、および売上高400億円以上の未上場企業のサイバーセキュリティ責任者
調査期間:2023年6月9日~7月3日
調査方法:郵送によるアンケート票の送付・回収、ウェブによるアンケートの回収
有効回答数:258社
