メルマガはこちらから

PAGE
TOP

日本の企業・組織におけるサイバーセキュリティ実態調査:DX推進とセキュリティ強化の課題は人材不足、6割超がサイバーセキュリティを経営課題として重要視もセキュリティ対策への投資は不足 - サイリーグ調べ

PR TIMES

サイリーグホールディングス株式会社
~セキュリティ投資、効果を実感しているのは3割未満?課題は「費用対効果の可視化」~

株式会社チェンジホールディングス(本社:東京都港区、代表取締役兼執行役員社長:福留 大士)の子会社でサイバーセキュリティ事業を推進する中間持ち株会社であるサイリーグホールディングス株式会社(本社:東京都港区、代表取締役社長:高谷 康久)は、日本の企業・組織におけるサイバーセキュリティの現状と課題に関する調査を実施し、その結果を本日発表しました。本調査は、2024年10月23日(水)から11月1日(金)にかけて、企業・組織の経営層およびIT/セキュリティ/リスク管理部門の現場担当者994名を対象にWebアンケート形式で実施されました。

調査の結果、60%以上の企業がサイバーセキュリティを経営課題として重視していることが明らかになりました。ランサムウェア攻撃の被害増加を受け、サイバーセキュリティはもはや他人事ではないという危機意識が、経営層全体に広がっていることが背景にあると考えられます。また、経営層と現場との間でセキュリティに関する情報が共有され、取るべき対策が推進されていることもサイバーセキュリティが重視されるようになった一因であると考えられます。

セキュリティ対策を進める上での課題として、経営層の約44%、現場担当者の約31%が「セキュリティ人材不足」を挙げました。また、現場担当者の31%超は「セキュリティ対策の予算の不足」を課題に感じている一方で、予算を課題として挙げる経営層は19%に留まり、経営層の課題意識は低い傾向にあり、認識のずれが浮き彫りとなりました。

DX推進に関しても同様に「IT人材不足」が最大の課題として挙げられ、さらに「サイバー攻撃に対する脆弱性」や「セキュリティ対策の不十分さ」「個人情報保護」といったセキュリティ関連の課題もそれぞれ10%を超えており、DX推進におけるセキュリティの重要性が認識されていることも改めて示されました。

インシデント発生時に最も懸念される点については、経営層・現場担当者ともに「情報漏えい」「ビジネスへの影響」「信用失墜」が上位を占めました。一方で、「法的責任や罰則」「金銭的損失や復旧コスト」といった事後的な影響への懸念は低い傾向にあり、インシデント発生時の実害に対する認識共有が十分ではない可能性が示唆されました。

セキュリティ対策の投資効果については、約26%が「リターンを得られている」と回答した一方で、経営層の58%、現場担当者の48%が「リターンは不十分」「リターンがあるとは感じられない」「評価が難しい」などと回答しており、投資対効果の可視化が課題となっています。

これらの調査結果から、2024年は経営層のサイバーセキュリティへの意識が高まり、自社の脆弱性や対応体制への課題が明確になったことがわかりました。これを受けて、経営層と現場担当者がセキュリティに関する対話の機会を増やし共通認識を深めることが求められています。そのためには、リスクの可視化、セキュリティ文化の醸成、実践的な演習を通じた連携強化が不可欠です。

また、セキュリティ対策においては、技術的な対応にとどまらず、全社的なセキュリティ意識とリテラシーの向上が重要です。これを実現するには、現場のリーダーシップと経営層の強力な関与が欠かせません。両者が連携し、具体的な施策を共同で策定・実行することで、セキュリティ文化の定着と持続的な改善が可能となります。

◆調査結果資料のダウンロード
https://offers.cyleague.jp/202412-survey-report/

◆調査結果サマリー
- 60%以上の企業でサイバーセキュリティを経営課題として重視している頻発した「ランサムウェア攻撃」の被害を通じて、サイバーセキュリティが自社にも起こりうる危機として広く認識され、サイバーセキュリティが組織全体で取り組むべき「重要な経営課題」の一つとして重視され始めている。
- 57%の経営層と現場担当者との間でセキュリティに関する情報が共有され、現場として取るべき対策が推進されていることが確認された急増したランサムウェア攻撃への対策など、「個別の対策」については、経営層と現場で情報共有され、取るべき対策が一定レベルで協議・合意され、推進された。
- 自社のセキュリティ対策について、経営層は41%、現場担当者は48%が、「満足」「概ね満足(一部改善が必要)」と回答。一方で、53%の経営層、41%の現場担当者は、「どちらともいえない」「満足していない部分がある」と回答しており、企業による違いが大きいとともに、経営層は満足度が低い傾向にある「実施すべきセキュリティ対策」「セキュリティ人材とスキル」「セキュリティのための投資」などについて:
- - 経営層は、自社が適切なレベルかどうか、評価、判断ができていないために不安に感じている。
- - 現場担当者は、「脆弱性診断」等により一定レベルでの対策は講じられており、また、必要最小限の人材は配置されていると判断している。
- 経営層の約44%、現場担当者の約31%がセキュリティ対策実施の課題に「セキュリティ人材の不足」と挙げるなど、セキュリティ領域で最も大きな課題は「セキュリティ人材の不足」である
- 現場担当者の31%超が「セキュリティ対策の予算の不足」を課題として挙げている一方で、予算を課題として挙げる経営層は19%に留まり、課題感がそれほど高くない傾向にある
- セキュリティ対策の投資効果について、約26%が「リターンを得られている」と回答した一方で、経営層の58%、現場担当者の48%が「リターンは不十分」「リターンがあるとは感じられない」「評価が難しい」などと回答
- 経営層と現場担当者が共通して最も懸念を抱くインシデントは、「情報漏洩」「ビジネスへの影響」「信用失墜」である
- 現在、インシデント対応体制にリソースを投資していると回答した人の割合が経営層、現場担当者ともに9%程度に留まった。経営層も現場担当者もその重要性に対する認識は低い傾向にある
- - 被害を防ぐためのセキュリティ対策が優先される傾向。インシデント発生時における実害や影響に対して、経営層と現場での共通の理解になっていない。
- - 経営に対して経営責任を問う「警告(法的責任や信頼失墜、ブランド棄損、市場評価など)」はあまり懸念されていない。
- 自社で実施すべきセキュリティ対策は「従業員のセキュリティ意識向上」「セキュリティ文化醸成」そのためにeラーニング、トレーニングを続けていくべきという認識は経営層も現場担当者も共通である。

◆調査結果を受けてのコメント
本調査結果を受けて、イー・ガーディアングループCISO徳丸浩は次のようにコメントしました。
ステレオタイプの言論として「経営者はセキュリティに無関心」というものがありますが、これだけランサムウェアなどの報道が出ている中で、果たして経営者がセキュリティに無関心でいられるのかと疑問に思っていました。その意味で、今回の調査により、経営者も現場もセキュリティの脅威を感じていることが示されたことは意義深いと感じます。
調査が示すようにセキュリティ人材不足は深刻な問題ですが、セキュリティ専門家をうまく活用して効率のよい人材育成やセキュリティ施策を実施していただければと思います。
また、従来から言われていた「侵入前提のセキュリティ」は、侵入早期の検知を前提としていたと思いますが、重大なセキュリティ侵害が十分あり得る現在においては、「重大な被害にあっても早期に回復できる」強靭で柔軟なITシステムや体制の構築が急務であると考えます。


また、アイディルートコンサルティング CISOサービス事業部 パートナー 吉田 卓史は次のようにコメントしました。
多くの企業の経営層がサイバーセキュリティを経営課題として重視していることが明らかになった一方で、対策はランサムウェアや情報漏洩と言った世間を賑わせるトピックにのみ注目しがちであることが、調査結果から読み取れます。日本における情報セキュリティ対策において問題になりがちなのは、これらのホットトピックにのみ注力することで、企業全体としてのサイバーセキュリティリスクを検討せず、セキュリティ対策がパッチワークとなってしまうことです。この要因として考えられるのが、調査結果にも現れている「セキュリティ人材の不足」という点です。
サイバーセキュリティリスクは業種業態によっても異なり、同業種でもビジネス形態等により、異なっています。それらを精査する上位のセキュリティ担当者(CISO等)や実行段階を担うセキュリティ人材が不足している、というのは10年以上前から言われてきたことです。
生成系AIの活用や複雑化するサプライチェーンからサイバーセキュリティリスクはより一層重要な経営課題となっていくでしょう。


◆調査概要


◆サイリーグホールディングスについて
サイリーグホールディングス株式会社は、株式会社チェンジホールディングスの子会社で、日本の企業や組織のサイバーセキュリティを高めることを使命とする持株会社です。M&A、業務提携、自社サービスの開発を通じて、ITインフラやネットワークの安全性を確保しつつ、事業の成長と発展を支えます。
「リーグ(League)」の精神のもと、グループ企業やパートナーと切磋琢磨し、日本のサイバーセキュリティ業界を牽引します。セキュリティ人材育成にも注力し、企業が抱えるサイバー脅威に迅速に対応できる体制を構築。デジタル社会の安心・安全に貢献する総合的なサイバーセキュリティ企業を目指します。