Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サイバー攻撃が経営リスクだとようやく意識され始めた

PwCの「グローバル情報セキュリティ調査2018」が日経で取り上げられていました。

www.nikkei.com

日本の経営層の間ではサイバー攻撃が事業継続性(BCP)のリスクになるという認識が60%に達し、数年前より大幅に高まっていることが分かった。世界平均の49%と比較しても日本の経営者の意識は高いという。

 

もっとも、意識が高まったからといって対策ができているわけでない。サイバーセキュリティーに「自信がある」「やや自信がある」と回答した日本企業は38%。世界平均の74%の半分にとどまった。「自信を尋ねる質問への日本企業の回答は一般に低く出やすいが、その点を割り引いても大きな差だ」

(日経記事より引用)

 

■グローバル情報セキュリティ調査資料DLは下記参照

www.pwc.com

 

◆キタきつねの所感

2017年5月と言えば、丁度WannaCryが猛威を振るっていた頃ですので、サイバー攻撃が経営リスクであるという日本企業経営者の回答は出やすかったかも知れません。とはいえ、経営リスクだと分かっても、自社のセキュリティには自信が無い(やってない)。そうした傾向が良く出ている気がします。

レポートの16ページから「日本企業への示唆」という章があり、名ばかりCISO(CSIRT)の実態がデータとしてよく現れていると思います。セキュリティインシデントを把握してない、という回答はグローバルデータの3倍以上を示しており、経営陣が危機感を感じながらも、知見が無い、本来の意味でのCISO(+橋渡し人材)が居ない。そこがセキュリティ投資に踏み切れない遠因になっている気がします。

 

余談となりますが・・・大変興味深い調査データでした。2018年版ではありますが、調べてみると、調査回答締め切りは5月26日までとなっていたので、レポートを作るまでに1年かかっている(1年前の情報?)ようです。よくまとめられているレポートだとは思いますが、少しデータが古い?という気がします。発表予定(秋)より結構遅れていたんですね。。

「グローバル情報セキュリティ調査2018」調査回答ご協力のお願い | PwCコンサルティング合同会社

スケジュール

2017年5月26日(金) 調査回答期限
2017年秋(予定) 調査結果発表

日本企業の回答数は257。グローバルでは9500ですので、、日本企業の回答は(世界に比べると)少ない気がします。違う見方で言えば、回答しても良い程度には、多少はセキュリティに自信がある日本企業の回答が出ている、、という面もあるかも知れません。

サイバーセキュリティ経営ガイドラインの改訂版に対する日本企業の対応が調査結果に反映されそうな2019年版も興味深いところです。

 

お金のために頑張る会社員のイラスト

 

更新履歴

  • 2018年6月16日PM(予約投稿)