1. HOME
  2. ブログ
  3. サイバーセキュリティの課題は人材と予算、経営層と現場の連携が鍵

サイバーセキュリティの課題は人材と予算、経営層と現場の連携が鍵

株式会社チェンジホールディングスの子会社でサイバーセキュリティ事業を推進する中間持株会社であるサイリーグホールディングス株式会社は、日本の企業・組織におけるサイバーセキュリティの現状と課題に関する調査を実施し、その結果を同社が開催した説明会内でサイリーグホールディングス株式会社 取締役 大越いずみ氏が解説した。

サイリーグホールディングス株式会社 取締役 大越いずみ氏

1. 経営層の意識向上と課題の明確化

2024年の調査結果によると、経営層のサイバーセキュリティへの意識は高まっており、自社の脆弱性や対応体制に関する課題が明確化されつつある。これを受け、経営層と現場担当者の間でセキュリティに関する対話を増やし、共通認識を深める必要性が示されている。
具体的には、以下の3点が求められている

  • リスクの可視化
  • セキュリティ文化の醸成
  • 実践的な演習を通じた連携強化

2. 全社的な取り組みの必要性

技術的な対応だけでなく、セキュリティ意識やリテラシー向上が重要。これには現場のリーダーシップと経営層の強力な関与が欠かせない。両者が連携し、具体的な施策を共同で策定・実行することで、セキュリティ文化の定着と持続的な改善が期待される。

本調査は、2024年10月23日(水)から11月1日(金)にかけて、企業・組織の経営層およびIT/セキュリティ/リスク管理部門の現場担当者994名を対象にWebアンケート形式で実施されたものの結果である。

調査結果資料のダウンロードこちらから

調査結果のサマリー

60%以上の企業でサイバーセキュリティを経営課題として重視している
頻発した「ランサムウェア攻撃」の被害を通じて、サイバーセキュリティが自社にも起こりうる危機として広く認識され、サイバーセキュリティが組織全体で取り組むべき「重要な経営課題」の一つとして重視され始めている。

57%の経営層と現場担当者との間でセキュリティに関する情報が共有され、現場として取るべき対策が推進されていることが確認された
急増したランサムウェア攻撃への対策など、「個別の対策」については、経営層と現場で情報共有され、取るべき対策が一定レベルで協議・合意され、推進された。

自社のセキュリティ対策について、経営層は41%、現場担当者は48%が、「満足」「概ね満足(一部改善が必要)」と回答。一方で、53%の経営層、41%の現場担当者は、「どちらともいえない」「満足していない部分がある」と回答しており、企業による違いが大きいとともに、経営層は満足度が低い傾向にある
「実施すべきセキュリティ対策」「セキュリティ人材とスキル」「セキュリティのための投資」などについて: 経営層は、自社が適切なレベルかどうか、評価、判断ができていないために不安に感じている。
現場担当者は、「脆弱性診断」等により一定レベルでの対策は講じられており、また、必要最小限の人材は配置されていると判断している。

経営層の約44%、現場担当者の約31%がセキュリティ対策実施の課題に「セキュリティ人材の不足」と挙げるなど、セキュリティ領域で最も大きな課題は「セキュリティ人材の不足」である

現場担当者の31%超が「セキュリティ対策の予算の不足」を課題として挙げている一方で、予算を課題として挙げる経営層は19%に留まり、課題感がそれほど高くない傾向にある

セキュリティ対策の投資効果について、約26%が「リターンを得られている」と回答した一方で、経営層の58%、現場担当者の48%が「リターンは不十分」「リターンがあるとは感じられない」「評価が難しい」などと回答

経営層と現場担当者が共通して最も懸念を抱くインシデントは、「情報漏洩」「ビジネスへの影響」「信用失墜」である

現在、インシデント対応体制にリソースを投資していると回答した人の割合が経営層、現場担当者ともに9%程度に留まった。経営層も現場担当者もその重要性に対する認識は低い傾向にある 被害を防ぐためのセキュリティ対策が優先される傾向。インシデント発生時における実害や影響に対して、経営層と現場での共通の理解になっていない。
経営に対して経営責任を問う「警告(法的責任や信頼失墜、ブランド棄損、市場評価など)」はあまり懸念されていない。

自社で実施すべきセキュリティ対策は「従業員のセキュリティ意識向上」「セキュリティ文化醸成」
そのためにeラーニング、トレーニングを続けていくべきという認識は経営層も現場担当者も共通である。

調査結果から、大越氏は以下の4点を提言として述べた。

・セキュリティ対策を講じてもインシデントの発生を完全に防ぐことは不可能であるという前提に立ち、まずは自社の脆弱性レベルや想定されるリスクを確認する。

・多くの企業がセキュリティの対応体制において外部に委託あるいは全部委託している状況であることから、対策の有効性を評価するためには、委託先からの報告だけでなく、第三者による評価とその可視化などの追加手段を講じて、経営と現場で共有できるようにする。

・セキュリティ対策として、全社的なセキュリティ意識・リテラシーの向上やセキュリティ文化醸成について、現場のリーダーシップと経営の強力な関与を相互に期待していることがら、共同して具体的な施策を作成・遂行する。並行して、インシデント発生後の対応体制の整備にも着手する。

・経営層が果たすべき役割や必要とするサポートを具体化させるために、現場担当者の主導によって、経営層も参加してセキュリティインシデントの発生を想定した実践的演習を実施し、その振り返りを行う。経営層が最も脅威と考えるランサムウエア攻撃を想定した訓練を行うことが有効と考えられる。

調査結果資料のダウンロードこちらから

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!