プライスウォーターハウスクーパース(PwC)が11月5日に発表した「グローバル情報セキュリティ調査 2015(日本版)」(注を参照)によると、日本企業の年間セキュリティ平均投資額は2億1000万円で、世界平均(4億2000万円)の半分だという。なぜ、日本企業はセキュリティ対策に消極的なのか。そこには構造的な問題があるのだろうか。今後も、セキュリティ上の脅威が増大することは間違いない。それに対抗するにはどのような対策を講じるべきなのか――。PwCでサイバーセキュリティセンター ディレクターを務める山本直樹氏に聞いた。
なぜ日本企業はセキュリティ対策に投資をしないのでしょう。
山本氏 年間2億1000万円が多いか少ないかの議論はありますが、サイバー攻撃の件数が急増し、攻撃手法が巧妙化している現状では、世界平均の半分であることは、脅威に対する意識が低いと言わざるをえません。残念ながら、「自社には盗まれるような価値のある情報はないから、セキュリティ脅威は関係がない」と話す経営者が少なくありません。しかし、これは大きな間違いです。日本は技術立国であり、企業が保有する情報は狙う側から見ると“宝の山”です。
とはいえ、以前よりもセキュリティに対する意識は高まっています。同調査で、「今後1年間の情報セキュリティ投資は前年に比べ増加するか」と聞いたところ、「増加する」と回答した割合は、前回よりも8ポイント増えて27%になりました。これは明るいニュースと言えるでしょう。
調査ではインシデントの発生要因を把握できていない日本企業の実態も明らかになっています。インシデント発生要因を「わからない」と回答した企業は、世界では18%だったのに対し、日本は43%にも上りました。
山本氏 これは、由々しき状態です。インシデント発生は不可避だったとしても、それが何に起因しているのかが特定できなければ、再発防止策は講じられません。そもそも攻撃を受けていることすら気がつかない企業も少なくないのです。
情報漏えいは物理的な盗難と異なり、ある日突然モノが無くなるのではありません。オリジナル(情報)は手元にあるのですが、そのコピーが盗まれるのです。一度に数ギガバイトのデータが外部記憶媒体にコピーされれば気がつきやすいですが、長期間に少しずつ盗む攻撃もあり、気づかない場合も多いのです。
PwCが米国版「CIO Magazine」「CSO Magazine」両誌と共同で毎年実施している情報セキュリティに関する調査。調査期間は2014年3月27日~5月25日で、オンラインによる回答形式。調査対象は9700人以上のCEO、CFO、CIO、CISO、CSO、副社長、ITおよび情報セキュリティ役員で、うち日本の回答は219人。調査地域は世界154カ国(北米35%、欧州34%、アジア14%、南米13%、中東および南アフリカ4%)。
