2014年、国内では内部関係者による大規模な情報漏洩事件が発生しマスコミを騒がせた。海外では、外部からの攻撃によって、大手小売チェーンからクレジットカード情報等が大量に盗まれたり、映画配給会社が攻撃されて社内でのメールのやりとりや作品データが流出したりした。年末には、民間企業にサイバー攻撃を実施したとして、米国大統領が自ら北朝鮮への対抗措置を明言した。2015年も世界のサイバー攻撃が収まる様子はない。では、企業はどのように向き合えばよいのだろうか。PwCの調査結果を交えて、今年の展望を解説する。
二極化する企業の対応
コンサルティング業界で15年以上の業務経験を持ち、金融機関や大手製造業などに対して、サイバーセキュリティ、ITガバナンス、アイデンティティ管理、事業継続管理、IT組織改革、ITコスト管理、内部統制の分野において幅広い経験を持つ。公認情報システム監査人(CISA)、公認内部監査人(CIA)現在、PwCサイバーセキュリティCoEイーストクラスター代表(セキュリティ戦略担当)を務める。
はじめに、PwCが実施した「グローバル情報セキュリティ調査2015(*)」(調査期間:2014年3月27日~2014年5月25日)の結果から興味深いデータを紹介したい。
日本企業の年間セキュリティ投資額の平均は「2.1億円」とグローバルの平均値である「4.2億円」の半分にとどまっている。その一方で、「今後12ヵ月でセキュリティ投資を増やす」と回答した日本企業の割合は27%あり、前年度の19%から比べて大きく伸びていることがわかる(図1、図2)。
このデータから読み取れるのは、「半数以上の日本企業ではいまだにセキュリティ投資意欲が低調であるため、平均値としては低く表れている。しかし、一部の日本企業は、昨今のサイバー攻撃・犯罪の脅威を重く受け止め、セキュリティ投資のアクセルを踏み込もうとしている」ということだ。
セキュリティ投資に消極的な企業は、昨今のセキュリティインシデントを、いまだに人ごとだと思っているのか、それとも、面倒臭いので見なかったことにしているのだろうか。
当調査によると、報告されたセキュリティインシデントの件数は、2009年以来CAGR(複合年間成長率)で前年比66%もの勢いで増加し続けている。もはやサイバー攻撃を受けていない企業など、この世には存在しないと断言できる。