サイバーセキュリティ
サーベイ 2017
2 全世界的に被害を及ぼす、大規模なサイバー攻撃が数多く報 告されています。これらのサイバー攻撃の中には、重要インフ ラに対するものも含まれ、経済活動に大きな被害を与えてい ます。IoT(Internet of Things)の拡大により、現代社会はイン ターネットへの依存度を高めています。この来たるべきIoT社会 を安心・安全に迎えるために、サイバーセキュリティの重要度は 一層高まっています。 日本でも、2015年12月に「サイバーセキュリティ経営ガイドライ ン」が経済産業省より公開されました。同ガイドラインでは、企業 はサイバーセキュリティの確保を経営課題として位置づけ、CISO (最高情報セキュリティ責任者)を中心とした管理体制を構築す ることが求められています。本サーベイは、CISOまたは情報セ キュリティ責任者を中心とした「サイバーセキュリティ経営」の推 進の実態を明らかにすることを目的として実施しました。 多くの企業が「サイバーセキュリティ経営」を推進している一方 で、課題も明らかとなってきました。サイバー攻撃がピークとな ると見込まれる2020年の東京オリンピック・パラリンピックに 向け、それほど時間は残されていません。サイバーセキュリティ の推進は、より一層、経営者がリーダーシップをとって進めてい かなければなりません。 KPMGサイバーセキュリティアドバイザリーは、サイバーセキュリ ティに関する問題解決の支援に留まらず、有益な情報を広く社会 に提供することも自らの重要な役割であると考えています。本サー ベイが、少しでも皆様のお役に立つことができれば幸いです。 最後になりましたが、今回のサイバーセキュリティサーベイ実 施にあたり、ご回答いただきました多くの皆様に心から御礼を 申し上げます。 2017年6月 KPMGコンサルティング サイバーセキュリティ アドバイザリーグループ パートナー 田口 篤 エグゼクティブサマリー 調査概要 実態 セキュリティ被害の実態と対策の実情 課題 情報セキュリティはITによる対策の域を超えていない 戦略 サイバーセキュリティ経営を実践するために ・・・・・・ p.3 ・・・・・・ p.4 ・・・・・・ p.8 ・・・・・・ p.12
目次
はじめに
製造 37.6 17.1 19.9 5.7 9.2 9.8 46.6 13.3 19.0 5.0 5.7 6.3 29.5 19.5 21.2 8.1 4.6 2.8 1.312.5 ※ グラフの数値は「%」 流通 金融 旅行・レジャー・飲食 建設・不動産 運輸・通信・社会インフラ 無回答 学校・病院 その他 1~499人 500~999人 1000~2999人 1万人以上 3000~4999人 5000~9999人 500億円未満 500億~1000億円未満 1000億~3000億円未満 1兆円以上 3000億~5000億円未満 5000億~1兆円未満 無回答 無回答 業種 従業員数 (連結) 売上高 (2016年度連結) 企業の4社に1社は過去1年間に不正な侵入を受けています。 しかし、進化を続けるサイバー攻撃の脅威に対して継続的に対 策を更新するとともに、緊急時の即応体制を訓練するなど、実 効性のある対策と態勢を整えてある企業は、全体の2~3割程 度しかありません。 : : : : : : 名称 対象 調査期間 調査方法 発送数 有効回答数 企業のサイバーセキュリティに関する調査 国内上場企業、および売上高500億円以上 の未上場企業の情報セキュリティ責任者 2017年4月17日~5月15日 郵送によるアンケート票の送付・回収 6159件 457件(回収率7.4%) 企業の情報セキュリティ対策は、事業の継続や訴訟リスクへの配 慮が不足している懸念があります。サイバー攻撃が発生した際に は、技術面の対応に追われ、経営を揺るがす問題に発展するのをく い止められないかもしれません。経営層とセキュリティ担当部門の 連携をより一層強化し、マネジメント・テクノロジー・オペレーショ ンの機能を高度化させる必要があります。 サイバーセキュリティリスクを適切に管理するためには、まず経営 層が対策の現状を的確に理解できていなければなりません。その ためには、経営層にCISO(最高情報セキュリティ責任者)を置き、 トップダウンでセキュリティの推進を主導する必要があります。 同時に、セキュリティ部門の強化や全社員の意識向上など、全社の 体制整備も欠かせません。
調査概要
回答企業の属性
エグゼクティブサマリー
セキュリティ被害の
実態と対策の実情
情報セキュリティはITによる
対策の域を超えていない
サイバーセキュリティ経営を
実践するために
3 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent4
実態
セキュリティ被害の
実態と対策の実情
過去1年間に実被害の有無を問わず、サイバー攻撃による不 正な侵入を受けた痕跡が見つかった企業は27.4%、およそ4 社に1社に上ります。 国内外で猛威を振るうランサムウェアでも、22.3%の企業に 業務上の被害が発生。金銭詐取や顧客への補償、対応人件 費・機会損失費用など、過去1年間の合計損失額をわからな いと回答した企業は2割でした。 セキュリティ上の脅威は、企業経営にとって、想定上のリスク ではなく、現実のリスクです。攻撃時の初動対応マニュアルを整備する
■対応計画やマニュアルの対象範囲攻撃への定期的かつ実践的な演習・訓練を行う
サイバーセキュリティ保険への加入状況
十分できている ある程度できている あまりできていない まったくできていない どちらとも言えない 無回答 加入している 加入を現在検討中 加入予定はない 分からない 無回答 ■教育・訓練・演習の実施状況 ■サイバーセキュリティ保険の補償範囲 退職者などの不要になったアカウントの削除 システム / データへのアクセス権限を適切に設定する 重要情報を適時にバックアップして保管する 顧客などの個人情報を公開サーバーに蓄積しない 端末ログの収集・監視・保存 ネットワークのセグメント化 管理者用のID・パスワードを初期値から変更 通信ログの収集・保存と定期的な分析 振る舞い検知の仕組みの導入 重要情報を暗号化して保存する 社員のセキュリティ意識の向上 事件発生時の組織対応 (経営報告・広報など) 役員・幹部を狙った ビジネスメール詐欺 ファームバンキングなどの フィッシング 標的型攻撃メール 分からない その他 システムの停止等に伴う営業損失などへの補償 インシデント等への対応作業費用に関する補償 損害賠償責任に対する補償 自社のみ 自社とグループ企業全体 自社とグループ企業に加え、 取引先や委託先まで 無回答 分からない 対応計画やマニュアルはない 35.7 2.0 3.9 6.1 20.6 31.7 計画・マニュアルが ない企業 ■不正侵入等を前提とした技術的対策の実施状況3
割弱の企業が痕跡を発見
不正侵入の痕跡の有無
社員からの通報が最多
不正侵入に気づいたきっかけ
無回答 顧客や取引先からの通報 外部の公的機関からの通報 委託先 IT ベンダーからの通報 情報セキュリティ部門の監視 社員からの通報 100万~1000万円未満 顧客や取引先の機密情報が漏えいした 顧客や取引先に間違った情報を提供し混乱させた 自社の機密情報が漏えいした 社員の個人情報が漏えいした 自社の評判が傷ついた 顧客や取引先の個人情報が漏えいした 顧客や取引先に経済的な損失が発生した システムが踏み台として第三者への攻撃に使われた 自社に経済的な損失が発生した 自社の業務やシステムが著しく遅延・中断したランサムウェア被害で届け出たのは
2
%
警察への届け出
n=156業務上の被害の有無
過去
1
年間の合計損失額
過去
1
年間の被害内容
8.8% 20.8% 29.6% 30.4% 31.4% 30.6% 33.5% 44.2% 54.0% 55.1% 58.4% 58.6% 65.6% 81.6% 86.0% 87.5% 41.1% 23.2% 1.8% 3.6% 12.8% 7.1% 4.5% 3.8% 1.9% 1.3% 0.6% 0.6% 0.6% 5.0 31.6 21.5 30.9 11.0 5.6% 4.8%2
%
13.5
%
1.3
%
21.2
%
最新情報を自社の対策に取り込む
十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 2.6 31.4 31.4 30.1 4.434.1
%
25.2
%
23.9
%
21
%
36.6
%
3.7 21.5 24.3 13.6 2.4 3.1 7.2 6.6 47.0 15.5 4.6 27.6 30.9 28.9 21.7 10.9 25.8 24.9 15.8 30.2 29.8 23.6 13.6 28.4 13.8 43.8 19.7 9.0 30.5 20.0 12.3 11.6 47.9 26.9 1.3 1000万~1億円未満 分からない n=125 n=455 n=456 n=457 n=56 n=457 n=457 n=456 n=457 n=102 n=457ランサムウェアでは
2
割の企業に業務上の被害が発生
7.9% 22.3% 16.8% 6.6% 6.1% 4.2% 2.8% 2.4% 1.1% 0.2% 0.0% 0.9% ランサムウェア その他のマルウェア その他 制御機器に対する攻撃 IoT機器に対する攻撃 ソーシャル・エンジニアリング サイトの改ざん フィッシング サービスへの不正ログインや情報窃取 不正送金などを指示するビジネスメール詐欺 DDoS(サービス妨害)攻撃 標的型攻撃 あった なかった わからない 無回答 あった なかった わからない 無回答 10.3% 1.1%61.3%
27.4
%
n=457サイバー攻撃による業務被害は企業の3割で発生
攻撃時の初動対応マニュアルを整備する
■対応計画やマニュアルの対象範囲攻撃への定期的かつ実践的な演習・訓練を行う
サイバーセキュリティ保険への加入状況
十分できている ある程度できている あまりできていない まったくできていない どちらとも言えない 無回答 加入している 加入を現在検討中 加入予定はない 分からない 無回答 ■教育・訓練・演習の実施状況 ■サイバーセキュリティ保険の補償範囲 退職者などの不要になったアカウントの削除 システム / データへのアクセス権限を適切に設定する 重要情報を適時にバックアップして保管する 顧客などの個人情報を公開サーバーに蓄積しない 端末ログの収集・監視・保存 ネットワークのセグメント化 管理者用のID・パスワードを初期値から変更 通信ログの収集・保存と定期的な分析 振る舞い検知の仕組みの導入 重要情報を暗号化して保存する 社員のセキュリティ意識の向上 事件発生時の組織対応 (経営報告・広報など) 役員・幹部を狙った ビジネスメール詐欺 ファームバンキングなどの フィッシング 標的型攻撃メール 分からない その他 システムの停止等に伴う営業損失などへの補償 インシデント等への対応作業費用に関する補償 損害賠償責任に対する補償 自社のみ 自社とグループ企業全体 自社とグループ企業に加え、 取引先や委託先まで 無回答 分からない 対応計画やマニュアルはない 35.7 2.0 3.9 6.1 20.6 31.7 計画・マニュアルが ない企業 ■不正侵入等を前提とした技術的対策の実施状況3
割弱の企業が痕跡を発見
不正侵入の痕跡の有無
社員からの通報が最多
不正侵入に気づいたきっかけ
無回答 顧客や取引先からの通報 外部の公的機関からの通報 委託先 IT ベンダーからの通報 情報セキュリティ部門の監視 社員からの通報 100万~1000万円未満 顧客や取引先の機密情報が漏えいした 顧客や取引先に間違った情報を提供し混乱させた 自社の機密情報が漏えいした 社員の個人情報が漏えいした 自社の評判が傷ついた 顧客や取引先の個人情報が漏えいした 顧客や取引先に経済的な損失が発生した システムが踏み台として第三者への攻撃に使われた 自社に経済的な損失が発生した 自社の業務やシステムが著しく遅延・中断したランサムウェア被害で届け出たのは
2
%
警察への届け出
n=156業務上の被害の有無
過去
1
年間の合計損失額
過去
1
年間の被害内容
8.8% 20.8% 29.6% 30.4% 31.4% 30.6% 33.5% 44.2% 54.0% 55.1% 58.4% 58.6% 65.6% 81.6% 86.0% 87.5% 41.1% 23.2% 1.8% 3.6% 12.8% 7.1% 4.5% 3.8% 1.9% 1.3% 0.6% 0.6% 0.6% 5.0 31.6 21.5 30.9 11.0 5.6% 4.8%2
%
13.5
%
1.3
%
21.2
%
最新情報を自社の対策に取り込む
十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 十分できている ある程度できている どちらとも言えない あまりできていない まったくできていない 2.6 31.4 31.4 30.1 4.434.1
%
25.2
%
23.9
%
21
%
36.6
%
3.7 21.5 24.3 13.6 2.4 3.1 7.2 6.6 47.0 15.5 4.6 27.6 30.9 28.9 21.7 10.9 25.8 24.9 15.8 30.2 29.8 23.6 13.6 28.4 13.8 43.8 19.7 9.0 30.5 20.0 12.3 11.6 47.9 26.9 1.3 1000万~1億円未満 分からない n=125 n=455 n=456 n=457 n=56 n=457 n=457 n=456 n=457 n=102 n=457ランサムウェアでは
2
割の企業に業務上の被害が発生
7.9% 22.3% 16.8% 6.6% 6.1% 4.2% 2.8% 2.4% 1.1% 0.2% 0.0% 0.9% ランサムウェア その他のマルウェア その他 制御機器に対する攻撃 IoT機器に対する攻撃 ソーシャル・エンジニアリング サイトの改ざん フィッシング サービスへの不正ログインや情報窃取 不正送金などを指示するビジネスメール詐欺 DDoS(サービス妨害)攻撃 標的型攻撃 あった なかった わからない 無回答 あった なかった わからない 無回答 10.3% 1.1%61.3%
27.4
%
n=457 セキュリティ上の脅威が現実のリスクとなりつつある中、不 正侵入等を前提とした技術的対策と、攻撃時の初動対応 マニュアルの整備や演習・訓練ができている企業は、全体 の2~3割に留まります。 また、サイバーセキュリティ保険への加入については、検討 中の企業も含めて調査企業の4分の1に留まりました。しか し、昨今の大規模なサイバー攻撃による被害の増加により、 侵入されることを前提とした対策の一環として、今後加入 が増加していく可能性があります。対策の実効性を高める取組みが不十分
5 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent6
サイバー攻撃などのインシデントに対応する組織である 「CSIRT(Computer Security Incident Response Team)」
を設置済みの企業は2割弱に留まります。設置予定がない企 業は、4割にも達しています。設置済み企業が多い業種は金 融業で3割強。設置予定がない企業は、「従業員999人以下」 (50.8%)、「売上高1000億円未満」(50.4%)に多い傾向があ ります。 9割の企業は、CSIRT(設置予定を含む)の構成員として情報 システム部門のセキュリティ担当者を配置しています。情報シ ステム部門以外では、それぞれ3割前後の企業が個人情報保 護・広報・経営企画の担当者を配置しています。法務担当者を 配置しているのは全体の4分の1程度。役員をメンバーとして いる企業は28.1%です。 7割超の企業は、自社のCSIRTが「機能している」と評価してい ます。ただし「十分に機能している」と評価した企業は4社に1 社程度に留まります。 その他 CSIRT専任担当 外部委託先(ITベンダーなど) 法務担当 経営企画担当 役員 広報担当 個人情報保護担当 情報システム部門のアプリケーション担当 情報システム部門のセキュリティ担当 専任者平均 従業員数別 999人以下 全体平均
CSIRT
の構成員
CSIRT
の陣容業種別の
CSIRT
設置状況
CSIRT
の設置予定がない企業
人
1.4
9.3
人
91.4
%
33.6
%
32.8
%
32.8
%
28.9
%
24.2
%
18.8
%
18.0
%
14.1
%
28.1
%
50.8
%
40.7
%
18.6
%
1000人~2999人以下 3000人以上 売上高別 1000億円未満50.4
%
37.9
%
13.0
%
12.7
%
3000億円未満 5000億円未満 5000億円以上 設置済み 今後設置予定 設置について今後検討してみたい 設置予定はない 無回答 まあ機能している 十分に機能している どちらとも言えない あまり機能していない まったく機能していない 無回答 設置済み企業CSIRT
の設置状況
CSIRT
の機能状況
18
%
機能している企業7 1
%
18.4 23.8 22.6 3.61.21.2 47.6 29.8 40.7 1.5 9.6 n=457 n=84 n=128 n=128 n=250 n=113 n=274 n=87 n=23 n=55 n=91 n=135 製造業16.3
%
流通業7.9
%
n=89 金融業33.0
%
n=97CSIRT
を設置済みの企業は2割に満たない
セキュリティ対策の「技術選定」と「運用管理」の担当者につい ては、現状でも2割前後の企業がITベンダーに委託していま す。さらに、今後の在り方としてITベンダーへの委託を指向す る企業は全体の3分の1強に上ります。 今後の在り方として、社外からの即戦力の採用を指向する企 業もありますが、比率は5~6%とごく一部に限られています。 回答者が情報セキュリティ責任者であるためバイアスを考慮 する必要がありますが、今後1年間の経営上の課題として「サ イバーセキュリティ対策」は「働き方改革」を上回る第2位の優 先度に位置付けられています。 セキュリティ対策を「技術面」と「組織・人的な面」のどちらの 課題に位置付けるかについては、「両方の課題」とする企業が ほぼ半数を占めます。 技術的な課題 どちらかと言えば技術的な課題 どちらとも言えない/両方の課題 どちらかと言えば組織や人的な課題 組織や人的な課題 分からない 無回答 セキュリティ対策は 技術課題か 組織・人的課題か 今後の
1
年間の経営上の優先課題(上位3
つまで回答) 品質改善 情報共有の進展 資金繰りや財務面の安定性確保 M&A、他社との提携や協業 コンプライアンスへの取組み BCP(事業継続計画)の策定・強化 研究・開発力の強化 人材採用、評価など人事関連の強化 顧客サポートやアフターサービスの強化 経営情報の早期把握 マーケティングの強化、デジタル化 商品/製品企画の強化 新規事業の立ち上げ 生産・物流の効率化、見直し 海外での事業展開やグローバル管理 働き方改革 サイバーセキュリティ対策 営業の強化、支援 16.4% 15.5% 15.3% 15.3% 15.1% 14.4% 13.3% 12.9% 12.5% 10.9% 10.9% 9.4% 9.2% 7.4% 7.2% 記載がある企業27
%
26.7 28.9 14.4 2.6 27.4 44.4% 24.1% 21.2% n=457 両方の課題51
%
13.1 5.9 4.8 5.7 1.1 17.9 51.4 n=457 n=457 自社の社員や経営層 社外からの即戦力の採用 委託先 IT ベンダーの技術者 いない 分からない 無回答 対策の運用管理 対策で利用する技術の選定 (今後の在り方) 攻撃を受けた際の司令塔 (現状) (今後の在り方) (現状) (今後の在り方) (現状) セキュリティ対策の主な役割の担当者(現状と今後) 87.1 80.7 2.8 9.0 1.8 3.3 65.6 1.8 23.2 4.4 2.2 51.0 6.1 34.6 1.5 3.9 72.4 1.1 18.6 3.7 1.3 51.4 5.5 35.7 1.3 3.3 0.7 3.1 5.0 2.02.2 2.4 2.8 2.8 2.8 2.8 n=457技術選定と運用管理の外部委託を3割の企業が指向
セキュリティは「働き方改革」を上回る第2位の優先課題
7 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent8
課題
情報セキュリティは
ITによる対策の域を
超えていない
19
% 善管注意義務違反など法的リスクを考慮した対策 対策・リスクの四半期ごとの報告 顧客利便性や社員生産性を損ねないための事業部門との調整 n=449 n=451 n=45077
%
73
%
73
%
まったくできていない できているとも できていないとも言えない あまりできていない19
% 遮断時の判断基準や意思決定の手順策定 数日間のネット遮断時の事業上の影響範囲や損害規模の把握 数日間のネット遮断時の事業の維持・縮退のための手段の確保 n=456 n=455 n=45655
%
71
%
70
%
約8割の企業は、取締役の善管注意義務違反や株主代表訴訟などを考慮したセキュリティ対策が実施できていません。情報漏洩事件 などが発生した際には、経営陣が法的な責任を問われる恐れがあります。また、自社が攻撃を受けることによって直接・間接に顧客や 社会に与える影響を考慮し、セキュリティ対策を行っていかなければいけません。 ※「%」数値は「まったくできていない」「あまりできていない」 「できているともできていないとも言えない」の回答の和 サイバー攻撃を受けると、被害の拡大をくい止めるためにインターネット接続を遮断しなければならない場合があります。約5割の企 業は、遮断時の判断基準や意思決定の手順を策定していません。約7割の企業では遮断が数日間に及んだ際の事業への影響や損害 規模を把握できていません。事業を維持する手段も確保されていません。CSR
(企業の社会的責任)
8
割の企業では外部への説明責任や攻撃による社会への影響を考慮できていません
7
割の企業は攻撃による数日間のネット遮断に事業が耐えられません
BCP
(事業継続計画)
セキュリティ対策は、単なるITのリスク対策に留まるもの ではなく、事業継続や法的責任など、企業経営の全般にわ たって行われるべきものです。 インシデントが発生した際には、たとえCSIRTが整備して あったとしても、技術面の対応に終始してしまい、自社やス テークホルダーに与える影響を俯瞰した適切な行動を行え ず、経営を揺るがす問題に発展するのをくい止められない かもしれません。 被害の影響を考慮し、企業として適切な行動を取るために は、サイバーセキュリティをITや情報システム部門だけによ る課題とせず、経営全体が取り組むべき課題とし、経営者 が自らリーダーシップを取っていくことが必要です。 それはまさに「サイバーセキュリティ経営ガイドライン」の重 要なメッセージでもあります。 同業種・同規模企業の平均水準以上の対策 定期的な監査と報告に基づく改善 不審メールの開封など危険な行為の報告の奨励 n=454 n=456 n=457
56
%
63
%
35
%
19
% 顧客・取引先への連絡手順 メディアへの連絡や広報の手順 委託先ITベンダーとの連携手順 n=457 n=457 n=45758
%
66
%
44
%
セキュリティインシデントが発生した際には、被害の拡大防止や早期復旧のために、関係者に迅速に情報を伝える必要があります。 半数強の企業は、委託先ITベンダーとの連携手順を整えてあるものの、6~7割の企業は顧客・取引先・メディアへの連絡手順が未整 備です。セキュリティ侵害が発生した際に問い合わせや苦情が殺到する恐れがあります。 セキュリティ被害の予防・軽減の対策は、半数以上の企業が同業種・同規模の企業と比べ遅れています。進化を続けるセキュリティの 脅威に対し、定期的な監査と報告に基づく改善活動を行えていない企業は、6割を超えます。不審メールの開封など危険な行為の報 告の奨励は、いまだ3分の1の企業において徹底できていません。3
社に2社は定期的な監査と報告に基づく改善活動が行えていません
7
割の企業は被害発生時に適切な情報発信・提供ができません
被害の予防・軽減策
クライシス・コミュニケーション
9 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent10
CSR
(企業の社会的責任) サイバー攻撃発生時のBCP
(事業継続計画) 善管注意義務違反、 株主代表訴訟などの 法的リスクを考慮した対策 「ある程度できている」「十分できている」 「どちらとも言えない」「あまりできていない」「まったくできていない」22.9
%
77.1
%
対策の現状とリスクの 頻繁な(3ヵ月に1回以上の) 経営層への報告26.8
%
73.2
%
顧客の利便性や社員の 生産性を損ねないための 事業部門との調整26.9
%
0 1
07
08
09
10
11
12
13
02
03
04
05
06
73.1
%
被害の予防策/軽減策43.6
%
56.4
%
63.2
%
36.8
%
50.3
%
49.7
%
64.8
%
35.2
%
38.1
%
61.9
%
30.1
%
69.9
%
26.5
%
73.5
%
ネット接続を遮断する 際の判断基準や 意思決定の手順の策定45.0
%
55.0
%
ネット接続を数日間 遮断した場合の事業上 の影響範囲や 損害規模の把握28.8
%
71.2
%
ネット接続を数日間 遮断した場合の、 事業の継続・縮退の ための手段の確保30.5
%
69.5
%
n=449 同業種・同規模の 企業の平均以上の 水準の対策 対策状況についての 定期的な監査と 報告を受けての改善 社内システムに 侵入されても情報の漏えいや 破壊を免れる対策 標的型攻撃メールの 開封など危険行為を 隠さず報告することの奨励 情報資産をすべて洗い出し、 その重要度に応じた 保護対策 インターネットに つながっていないシステム (工場、POSなど)への対策 系列企業や取引先企業の 対策状況の把握と 改善要望の提示 n=454 n=456 n=453 n=457 n=457 n=449 n=449 n=451 n=450 n=456 n=455 n=456サイバーセキュリティ対策の実施状況
サイバーセキュリティ対策の実施状況に関して17の設問を設け確認しました。 全17設問のうち、「危険行為の報告の奨励」「委託先ITベンダーとの連携」「侵入されても情報の 漏えいや破壊を免れる対策」の3つを除くと、「できていない」(「どちらとも言えない」を含む)と いう回答が過半を占めています。 出所:「サイバーセキュリティ経営ガイドライン」経済産業省・情報処理推進機構 サイバーセキュリティリスクへの対応について、組織の内外に示すための方針(セキュリティポリシー) を策定すること。 情報セキュリティ対策を実施する上での責任者となる 担当幹部(
CISO
等)に経営者が指示すべき「重要10
項目」 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの 対処に向けた計画を策定すること。 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様にPDCAの運用を含むサイバー セキュリティ対策を行わせること。 PDCAの運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成 など資源の確保について検討すること。 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当、両者をつなぐ仲介者としての CISO等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。 計画が確実に実施され、改善が図られるよう、PDCAを実施すること。また、対策状況については、 CISO等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべ く適切に開示すること。 ITシステムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織 に委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への 攻撃を想定したサイバーセキュリティの確保を確認すること。 攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映 すること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の 被害が社会全体に広がることの未然防止に貢献すること。 サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT(サイバー攻撃による情報漏 えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織)の整備や、初動対応 マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること。 サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするとと もに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。 クライシス・コミュニケーション42.0
%
58.0
%
45.5
%
54.5
%
34.1
%
65.9
%
56.2
%
43.8
%
顧客・取引先への 連絡手順 警察・監督官庁 業界団体への連絡手順 メディアへの連絡や 広報の手順 委託先ITベンダーとの 連携手順 n=457 n=457 n=45714
15
16
1 7
n=457 11 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent12
戦略
サイバーセキュリティ
経営を
実践するために
企業がサイバーセキュリティリスクを適切に管理できるように するためには、経営層がセキュリティ対策の現状等を的確に 理解できていなければなりません。そのためには、経営層に CISO(最高情報セキュリティ責任者)を置き、トップダウンでセ キュリティの推進を主導し、情報セキュリティ部門との間で、正 確・適時に情報を交換・共有できる管理体制を整えることが重 要です。 経営層がサイバーセキュリティをリードするために重要な役 割を果たすのがCISO(最高情報セキュリティ責任者)です。 CISOを含む情報セキュリティ責任者を設けている企業は7割 に達しています。その55%は取締役であり、業務執行の意思 決定体である取締役会の場で情報セキュリティを経営課題と して直接議論できる立場にあります。全体では39%の企業で 取締役が情報セキュリティの責任者を務めています。 一方で、全体で3割の企業は、セキュリティ責任者を置いてい ないか回答がありませんでした。 責任者が経営層と情報セキュリティ部門とを密接に連携させ る機能を果たしている企業では、経営層が対策の現状を理解 できており、両者には明らかな相関関係が見られました。 また、情報セキュリティ責任者が機能している企業は、ほぼ半 数がセキュリティ対策の投資額が適切と答えています。責任 者が経営層と現場を連携させる機能を果たすことは投資額 の適正化に寄与すると考えられます。 CISOの役職 CISO以外の 情報セキュリティ 責任者の役職 取締役 53% 取締役 63% 執行役員20% 執行役員 27% 部長 21% 部長 8% 課長以下 5% 無回答 1% 課長以下 2% CISOの肩書を 持つ責任者を置いている いずれも置いていない CISOという肩書ではないが、 情報セキュリティ責任者を置いている16
%
54
%
27
%
n=73 n=248 n=457 責任者が連携機能を 果たしていない企業 責任者が連携機能を 果たしている企業 責任者が連携機能を 果たしている企業経営層が対策の現状を理解できている企業の割合
セキュリティ対策投資額の適正さ
適切である 過剰である やや不足している 大いに不足している 無回答 責任者が連携機能を 果たしていない企業20
%
78
%
47.4 15.2 47.8 32.6 2.2 42.3 5.64.6 2.2 n=196 n=196 n=46 n=45CISO
/情報セキュリティ責任者により
経営層と情報セキュリティ部門を連携させる
CISO/情報セキュリティ責任者を設置している企業の6割 は、責任者が連携機能を果たしていると回答しました。一方、 連携機能を果たせていない企業に理由を尋ねると、責任者の 知識や経験の不足を挙げた回答が6割と最多でした。 責任者の4割は、情報システムやリスク管理の担当経験があり ません。 CISO/情報セキュリティ責任者のほぼ半数は、CxOを兼務し ています。最も多いのはCIOとの兼務で22%でした。 全社横断的な指揮命令権限がない 十分な予算が与えられていない 経営トップなどとのコミュニケーションが不足 全社の業務に関する知識や理解が不足 採用や異動などの十分な人事権限がない その他 社内全体にセキュリティ対策の重要性に対する認識が不足 セキュリティ担当部門のマンパワーやスキルが不足 セキュリティ技術に関する知識や経験が不足
CISO
/責任者が連携機能を果たせない理由 59.7% 47.6% 42.7% 21.8% 13.7% 12.1% 10.5% 9.7% 1.6% 4.0% 分からない n=124 責任者は連携機能を果たしているか 十分に果たしている 連携機能を 果たしている61
%
22.7 まあ果たしている 38.3 どちらとも言えない 24.3 あまり果たしていない 12.1 まったく果たしていない 2.2 社外からの登用 情報システムもリスク管理も 担当していない内部昇格者 リスク管理担当の内部昇格者 情報システム担当の内部昇格者CISO
/責任者の経歴 30.5% 24.0% 38.0% 11.8% CEO(最高経営責任者) COO(最高執行責任者) CTO(最高技術責任者) CMO(最高マーケティング責任者) その他 上記のいずれも兼務していない CRO(最高リスク責任者) CFO(最高財務責任者) CIO(最高情報責任者)CISO
/責任者のCxO
兼務状況 22.1% 16.8% 11.2% 6.2% 4.4% 2.5% 0.3% 6.5% 46.7% n=321 n=321 n=321 知識や経験の不足は一朝一夕で解決するものではありま せん。教育・訓練などの長期的視野の施策とともに、外部の 専門家の活用等の短期的な施策も検討すべきでしょう。 また、CIOがCISOを兼務する組織は、両者の分離が必要に なるかもしれません。AI・IoT等の新たなテクノロジーによる 変革の波が押し寄せる中、新たなサービスや製品を生み出 し、顧客を獲得することに創造力を発揮する「攻めの活動」 と、経営者の最大の関心事となりつつあるサイバーリスク を軽減する「守りの活動」の双方の比重が高まるためです。 両者ともに企業活動における重要性が高まるなか、組織を 守る牽制機能を充実させる必要性はさらに高まっていくで しょう。 13 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent14 経営層が現状を理解している企業の7割は、セキュリティ対策 の「あるべき姿」を経営層が持ち、同じく7割の企業はセキュリ ティ担当部門との間で「あるべき姿」について共通の認識を持 つことができています。逆に、経営層が現状を理解できていな い企業は、経営層が「あるべき姿」を持つことも、それをセキュ リティ部門と共有することも、まったくできていません。 対策の現状を理解し、強化すべき改善事項などの「あるべき 姿」を描くことができたら、その実現に向けて経営資源の適 時・適切な配分を決定することが、経営層の役割です。予算・ 人材の配分を経営層が自ら判断・決定し、適切に管理していく ことが重要です。 セキュリティ対策の支出を、「成長のための投資」と見るのか、 「やむを得ない費用」と見るのか--。成長投資と見る企業 は、全体の18.6%、2割弱に留まっています。圧倒的な多数派 は、「やむを得ない費用」と見る企業です。ほぼ3社に2社は「や むを得ない費用」に位置付けています。 しかし、セキュリティ対策の支出を「投資」と見る企業と、「費 用」と見る企業では、予算の充足状況や増減計画に明確な違 いがあります。「投資」と見る企業では、7割超が必要な予算を 確保できており、4割弱が投資額を増やす計画です。一方、「費 用」と見る企業では、それぞれ4割強、3割弱に留まります。
経営資源を適切に配分する (1)予算
1000万円未満 1000万~3000万円未満 3000万~5000万円未満 5000万~1億円未満 1億~3億円未満 3億~5億円未満 5億~10億円未満 10億円以上 分からない 無回答 明らかに投資 どちらかと言えば投資 どちらとも言えない どちらかと言えば費用 明らかに費用 分からない 無回答 47.0 13.6 5.0 19.3 44.6 15.8 20.8 5.0 7.0 10.5 3.17.1 11.1.3 2.4 0.90.9 成長投資と見る企業19
%
1000万円以上40
%
n=457 n=457 年間投資額 投資か費用か経営層が対策の「あるべき姿」を持っている企業の割合
経営層が現状を 理解できている企業 理解できていない企業経営層が現状を経営層と担当部門が「あるべき姿」を
共有できている企業の割合
69
%
69
%
0
%
1
%
n=232 n=96 経営層が現状を 理解できている企業 理解できていない企業経営層が現状を n=232 n=96セキュリティ対策の「あるべき姿」を描く
セキュリティ対策に取り組む上での最大の課題として最も多く挙げられたのは、知見のある実務担当者が足りないという、人材の確保・ 育成に関する事項でした。ただし、欠乏感は企業によって大きな差があります。経営層が対策の現状を理解している企業では、3割弱が 確保できているのに対し、経営層が現状を理解できていない企業では、確保できていない企業が8割に上ります。
経営資源を適切に配分する (2)人材
経営層がシステム部門の取組みや技術力に満足していな い企業では、7割超がシステム部門も経営層の対策への理 解に満足していません(グラフ「システム部門は対策に対す る経営層の理解に満足しているか」を参照)。一方に不満 があると、他方も不満を抱いています。 経営層が現状を理解した上で対策のあるべき姿を持ち、シ ステム部門と密接に意見や情報を交換できる関係を築くこ とが重要です。 必要な人材の確保・育成の状況 対策に取り組む上での課題 特にない その他 経営層の理解が乏しい 対策のための予算を確保できない サイバー攻撃の進化に追いつけない 投資対効果が分からない 従業員の意識が低い 知見のある実務担当者が足りない 64.3% 43.5% 42.2% 35.9% 28.2% 22.1% 2.2% 2.0% 確保・育成 できている できていない28.9
%
31.5%
確保・育成 できている できていない5.2
%
81.3%
システム部門は対策に対する経営層の理解に満足しているか 不満な企業 経営層がシステム部に 満足な企業 とてもそう思う あまりそう思わない まあそう思う まったくそう思わない どちらとも言えない 5.9 64.1 10.716.0 60.0 12.0 15.9 12.4 1.8 1.3 経営層が現状を 理解できている企業 n=232 経営層が現状を 理解できていない企業 n=96 n=170 n=7517.7
%
47.0
%
n=457 n=457 できている企業 できていない企業 できている できていない 投資と見る企業 費用と見る企業必要なセキュリティ予算の確保
全体 投資と見る企業 費用と見る企業2017
年度のセキュリティ投資額の増減
0% 50% 100% 増加(5割以上) 減少(2割未満) 増加(2割以上5割未満) 減少(2割以上5割未満) 増加(2割未満) 減少(5割以上) ほぼ横ばい 無回答 5.5 10.3 14.7 62.6 1.3 1.2 1.41.0 1.2 1.4 1.3 0.9 18.8 57.6 8.2 10.6 9.6 14.0 64.4 4.852
.0
%
23.0
%
まったくできていない あまりできていない どちらとも言えない ある程度できている 十分できている 8.2 67.1 15.3 8.2 1.2 n=85 3.4 24.7 26.5 41.6 3.8 n=291 n=457 n=85 n=292 n=456 15 © 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independentTEL:03-3548-5111 kc-cybersecurity@jp.kpmg.com www.kpmg.com/jp/cyber-security 本サーベイの無断転載を禁じます。 ここに記載されている情報はあくまで一般的なものであり、特定の個人や組織が置かれている状況に対応するものではありません。私たち は、的確な情報をタイムリーに提供するよう努めておりますが、情報を受け取られた時点およびそれ以降においての正確さは保証の限りで はありません。何らかの行動を取られる場合は、ここにある情報のみを根拠とせず、プロフェッショナルが特定の状況を綿密に調査した上で 提案する適切なアドバイスをもとにご判断ください。
© 2017 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. Printed in Japan. 17-1529
The KPMG name and logo are registered trademarks or trademarks of KPMG International.
