43.3%の企業が、委託先やグループ会社などのサプライチェーンに対して、なんらかのサイバー攻撃被害を受けていたことが、トレンドマイクロ株式会社と株式会社日経リサーチが実施した「サイバーセキュリティに関する調査」で明らかになった。

 調査概要

 調査手法(サンプリング):インターネット調査(日経リサーチのビジネスパーソン調査サービスを利用)

 調査地域:日本国内

 調査対象者:従業員規模1,000名以上の企業にお勤めのセキュリティ責任者・DX責任者(経営層〜部長級)

 回収数:300

 調査時期:2022年6月2日(木)〜8日(水)

 調査主体:トレンドマイクロ株式会社、株式会社日経リサーチ

サプライチェーンへのサイバー攻撃で、多かったのは「なりすましメールの送受信」(26.2%)で、「その他業務への支障」(19.2%)、「自社業務の一部または全部が停止」(16.9%)が続いている。

サイバー攻撃により、事業や生産活動が停止に追い込まれると、復旧するまでに数日かかることもある。それだけに、サイバーセキュリティの重要性は高まる一方だが、セキュリティ担当者を配置するだけでは、巧妙化するサイバー攻撃への対応は困難というのが実情だ。

サイバーセキュリティ対策としては、権限と責任を持ったCISO(最高情報セキュリティ責任者)やCSO(最高セキュリティ責任者)といった、ポジションを設置し、適切なサイバーセキュリティ戦略を立案、推進していくことが求められている。

ところが、CISO・CSOを設置している企業は38.7%と、半数に届いてはいない。ただし、呼称は違うがセキュリティ対策のトップポジションを設置しているのは73.3%にのぼる。

いずれも設置していない企業は24.3%だが、権限と責任をもつ経営層や役員レベルが、セキュリティ対策の旗振り役となるべきという認識そのものは、かなり浸透しつつあると言えそうだ。

経営レベルのポジションにある責任者をセキュリティ対策のトップに据え、適切なサイバーセキュリティ対策を講じるためには、それなりの予算も必要になるが、はたしてどれくらいの予算を投じているのだろうか。

一般財団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)は、企業のセキュリティ投資額は連結売上高の「0.5%以上」を投資すべきとの基準を示しているが、その基準を満たしているのは12.0%で、基準未満は半数近くの44.7%だった。

自社のセキュリティ投資額が不十分と認識している割合は41.3%で、とくにセキュリティ対策の専門人材については、6割近くが不足していると感じていることもわかった。

しかし、サイバーセキュリティ人材そのものが不足しているだけに、これからは自社で育成していくことが、ますます求められることになりそうだ。