グローバル情報セキュリティ調査®2016(日本版)
2015年11月09日
プライスウォーターハウスクーパースは、「グローバル情報セキュリティ調査®2016(日本版)」の結果を発表。本調査は、世界最大級のプロフェッショナルサービスネットワークであるPwCが、CIOおよびCSOとともに経営層を対象に実施した、情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査です。
本調査の結果、世界の多くの企業は、自社がサイバー攻撃を受けることを前提にして、インシデントの検知やレスポンスを重視した最新のセキュリティフレームワークを採用しているのに対して、日本企業では平時のマネジメントシステムに重点を置いたISO27001に偏重している傾向があることが分かりました。また、脅威や脆弱性など、サイバーリスク情報の外部共有を行っている日本企業の割合は3割程度にとどまり、世界全体の半分に満たないことが明らかになりました。以下、世界全体と日本企業の結果を比較した内容をまとめています。
「グローバル情報セキュリティ調査®2016(日本版)」の主な調査結果
世界全体と日本企業の調査結果の比較
・世界全体では最新のサイバーセキュリティフレームワークを採用しているが、日本企業はISO27001以外のフレームワークをほとんど活用していない
世界全体ではNIST(米国国立標準技術研究所)サイバーセキュリティフレームワークやSANS20クリティカルコントロール、ISFグッドプラクティス標準などがそれぞれ3割前後採用されているのに対し、日本企業はISO27001以外のフレームワークをほとんど活用していないことが分かりました。
・日本企業ではサイバーリスク情報の外部共有が進んでいない
世界全体では、組織間の共助を目的としたサイバーリスク情報の共有や相互連携が実施されていますが、日本企業における組織間の情報共有の実施割合は、世界全体の半分以下でした。日本企業が外部組織との情報共有を行わない理由として、約4割が「情報共有の枠組みの整備、標準化ができていない」と回答しています。
・Threat Intelligence(脅威情報や脆弱性情報など)を活用している企業はインシデントによる業務停止を軽減できている
さまざまなセキュリティ対策のうち、セキュリティインシデントによる業務停止時間を短くするのに最も効果的だったのは、「脅威情報サブスクリプション(セキュリティ脅威と解析情報の定期購読サービス)」でした。SIEM(ログ相関分析システム)などのツール導入なども効果はありますが、導入している場合としていない場合との差が比較的小さいことが分かりました。
グローバルの主な調査結果
・セキュリティリーダーのレポート先と求められる能力
CISO(最高情報セキュリティ責任者)などのセキュリティリーダーのレポート先として、CEO(36%)、CIO(25%)、取締役会(23%)が、回答の上位を占めています。また、セキュリティリーダーには、役員・取締役とのコミュニケーション能力や経営リスクとしての管理能力などの能力が求められています。
・IoT・制御システムを狙った攻撃が激増
IoT機器・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、昨年と比較して激増しています。回答企業の66%がIoTに関するセキュリティ戦略を策定済みもしくは整備中です。
・59%の企業がサイバーセキュリティ保険に加入
回答企業の59%がサイバーセキュリティ保険に加入しており、年々加入率が増加しています。一方、今後インシデント被害がますます増加すると保険料高騰の可能性も考えられます。
【調査概要】
・調査主体:PwC、CIO Magazine、CSO Magazine
・調査期間:2015年5月7日~2015年6月12日
・調査方法:オンライン調査
・調査対象:10,040人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、 最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、 ITおよび情報セキュリティ役員。うち日本の回答は286人。
・調査地域:127カ国(北アメリカ37%、ヨーロッパ30%、アジア16%、南アメリカ14%、中東および南アフリカ3%)
詳しいリサーチ内容はネタ元へ
本調査の結果、世界の多くの企業は、自社がサイバー攻撃を受けることを前提にして、インシデントの検知やレスポンスを重視した最新のセキュリティフレームワークを採用しているのに対して、日本企業では平時のマネジメントシステムに重点を置いたISO27001に偏重している傾向があることが分かりました。また、脅威や脆弱性など、サイバーリスク情報の外部共有を行っている日本企業の割合は3割程度にとどまり、世界全体の半分に満たないことが明らかになりました。以下、世界全体と日本企業の結果を比較した内容をまとめています。
「グローバル情報セキュリティ調査®2016(日本版)」の主な調査結果
世界全体と日本企業の調査結果の比較
・世界全体では最新のサイバーセキュリティフレームワークを採用しているが、日本企業はISO27001以外のフレームワークをほとんど活用していない
世界全体ではNIST(米国国立標準技術研究所)サイバーセキュリティフレームワークやSANS20クリティカルコントロール、ISFグッドプラクティス標準などがそれぞれ3割前後採用されているのに対し、日本企業はISO27001以外のフレームワークをほとんど活用していないことが分かりました。
・日本企業ではサイバーリスク情報の外部共有が進んでいない
世界全体では、組織間の共助を目的としたサイバーリスク情報の共有や相互連携が実施されていますが、日本企業における組織間の情報共有の実施割合は、世界全体の半分以下でした。日本企業が外部組織との情報共有を行わない理由として、約4割が「情報共有の枠組みの整備、標準化ができていない」と回答しています。
・Threat Intelligence(脅威情報や脆弱性情報など)を活用している企業はインシデントによる業務停止を軽減できている
さまざまなセキュリティ対策のうち、セキュリティインシデントによる業務停止時間を短くするのに最も効果的だったのは、「脅威情報サブスクリプション(セキュリティ脅威と解析情報の定期購読サービス)」でした。SIEM(ログ相関分析システム)などのツール導入なども効果はありますが、導入している場合としていない場合との差が比較的小さいことが分かりました。
グローバルの主な調査結果
・セキュリティリーダーのレポート先と求められる能力
CISO(最高情報セキュリティ責任者)などのセキュリティリーダーのレポート先として、CEO(36%)、CIO(25%)、取締役会(23%)が、回答の上位を占めています。また、セキュリティリーダーには、役員・取締役とのコミュニケーション能力や経営リスクとしての管理能力などの能力が求められています。
・IoT・制御システムを狙った攻撃が激増
IoT機器・制御システムを標的としたサイバー攻撃を受けたと回答した企業は、昨年と比較して激増しています。回答企業の66%がIoTに関するセキュリティ戦略を策定済みもしくは整備中です。
・59%の企業がサイバーセキュリティ保険に加入
回答企業の59%がサイバーセキュリティ保険に加入しており、年々加入率が増加しています。一方、今後インシデント被害がますます増加すると保険料高騰の可能性も考えられます。
【調査概要】
・調査主体:PwC、CIO Magazine、CSO Magazine
・調査期間:2015年5月7日~2015年6月12日
・調査方法:オンライン調査
・調査対象:10,040人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、 最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、 ITおよび情報セキュリティ役員。うち日本の回答は286人。
・調査地域:127カ国(北アメリカ37%、ヨーロッパ30%、アジア16%、南アメリカ14%、中東および南アフリカ3%)
詳しいリサーチ内容はネタ元へ
[PwC]
