サイバーリスクの管理に自信のない企業が今すぐすべきこと:80%の幹部は自信なし
調査によると、サイバー攻撃のリスクに対応する自信があると答えた上級幹部は19%しかいなかった。サイバーリスクを適切に管理するために、まず着手すべきこととは?
サイバー攻撃のリスクを管理する能力に自信を持っている組織はほとんど存在しないとの調査結果が明らかになった。
リスク管理会社のMarshとMicrosoftが全世界を対象に共同実施した調査によると、サイバーセキュリティをリスク管理の最優先課題と見なしているにもかかわらず、現状は先述の通りだ。
この調査では1300人以上の上級幹部から回答を得た。彼らの3分の2が、リスク管理の優先度トップ5の1つにサイバーセキュリティを挙げた。これは、Marshが2016年に実施した調査で同様の質問したときの回答の約2倍になる。
この調査では、「事業の中断を余儀なくされるほど影響が大きいサイバー攻撃は何か」という設問に対して、回答者の4分の3が「インターネット経由でのデータ流出」と考えていることも分かった。次いで「情報の侵害」とする回答が55%を占めた。組織内データの侵害は、組織が昔から注視していた事態だ。
しかし、こうした認識や懸念が組織幹部の間でここまで高まっているにもかかわらず、サイバー空間で発生する事態に対応し、被害を軽減させる能力に自信を持っているのは回答者の19%にとどまっている。しかも、サイバー攻撃への対応計画を作成済みだという回答はわずか30%だった。
調査報告書は「データや情報への依存はあらゆる企業に及んでおり、その結果、企業の規模や業種に関係なく、どの組織もサイバー攻撃に対して脆弱(ぜいじゃく)である」と指摘している。
「サイバーリスクは、リスク管理の中で優先順位が高まっている。事業運営にテクノロジーが導入される場面が増え、脅威がより複雑になっているためだ」と、Marshのグローバルリスクおよびデジタル部門のプレジデントであるジョン・ドゥジック氏は話す。「企業がサイバー耐障害性(レジリエンス)の包括的なアプローチを取るべき時期が来ている。経営幹部全員が関与して、リスクの予防、対応、軽減、移転の全ての分野にわたるアプローチに取り組むべきだ」と同氏は付け加える。
この目標に向けて重要になるのが、リスクの数値化だ。調査報告書では、サイバー攻撃によって被る損害の見積もりを実行したという回答者は50%に満たず、さらに「見積もりを実行した」と回答した企業の中で、経済的な観点からの試算を実行したのはわずか11%だったという集計結果が強調されている。
つまり、大半の企業ではまともに試算も実行していないことになる。しかしこの見積もりは、経営陣やそれ以外の従業員が、戦略計画を立案したりサイバー保険の購入に関連する投資判断をしたりするのに役立つ重要なステップだ。
同時に、サイバーリスク管理の責任は従来通り主にIT部門が担っており、社内でそれ以外の部門も関与しているかどうかは、企業によって方針が分かれる。
調査によると「サイバーリスク管理に関して社内で責任を負い、意思決定を行うべきは誰か」という設問に対して、回答者の70%はIT部門を挙げた。これに対して社長またはCEOや役員会だとする回答はわずか37%。リスク管理を担当する部門だという回答は32%だった。
Microsoftの法務関連部門でバイスプレジデント兼総合弁護士補佐を務めるマット・ペナルチク氏は、「どのようなサイバーセキュリティ戦略においても、テクノロジーがその基盤となる。リスク管理の包括的なアプローチの一環として、非テクノロジーソリューションへ投資することで得られる効果もある」と語る。
「例えば、先進的なテクノロジーやツールを導入し、そのトレーニングを受けることで、企業はネットワーク内のデータをもっと上手に保護できるようになるし、サイバー攻撃に伴う事業の中断や風評被害といったリスクに対しても適切な準備を進めることができる」
管理の責任を分担
調査報告書には、次の提言もある。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.