アクセンチュアはこのほど、日本を含む世界の有力企業CEO1,000人を対象とした調査レポート「The Cyber-Resilient CEO(サイバーレジリエントCEO)」を発表した。
本レポートでは、CEOは適切なサイバーセキュリティの構築に十分な対応が取れておらず、その結果、サイバー攻撃のリスクが高まり、対応や修復にかかるコストが増大していると指摘している。また、CEOの44%が、サイバーセキュリティに対し継続的な監視ではなく、単発的な介入で対処できると考えていることがわかった。
このようなサイバーセキュリティに対する受動的な姿勢に加え、半数以上(54%)のCEOが、サイバーセキュリティ対策のコストは、サイバー攻撃を受けた際に発生する場合のコストよりも高いという誤った思い込みを持っていることもわかった。例えば、世界的な海運・物流企業で発生した情報漏えい事案では、売上が20%減少し、損失額は3億米ドルに達したと報告されている。
さらに、90%のCEOが適切なサイバーセキュリティへの対応は自社の製品やサービスの差別化につながると捉え、顧客からの信頼構築に役立てていると回答しているにもかかわらず、サイバーセキュリティの課題を討議する取締役会を設けている企業はわずか15%にとどまっている。
サイバーセキュリティが経営と切り離されている現状は、CEOの大多数(91%)がサイバーセキュリティは技術的な機能であり、CIOまたは最高情報セキュリティ責任者(CISO)の職掌範囲であると回答していることからも明らかだ。
今後、生成AIがサイバー攻撃者に活用されることで、より脅威が高いサイバー攻撃が生まれる可能性がある。このような生成AIを活用した脅威には、現在最も優れているとされる防御策でも、完全には対応できない可能性がある。 調査対象となったCEOの64%が、サイバー攻撃者は生成AIを利用して、フィッシング詐欺、ソーシャル・エンジニアリング攻撃、自動ハッキングなど、高度で検知が困難なサイバー攻撃を仕掛ける可能性があると回答している。
アクセンチュア セキュリティを率いるパオロ・ダル・シン(Paolo Dal Cin)氏は、次のように述べている。
「生成AIの浸透により、企業はデータやデジタル資産のセキュリティ確保のための対策を講じることが一層重要になっています。しかしながら、多くの企業では重大なサイバーインシデントが発生して初めて重要な経営事項として認識し、全社レベルの対応を行っている状況です。サイバーリスクを企業のリスク管理フレームワークに統合することは、より優れたセキュリティ、コンプライアンス、事業保護、顧客からの信頼を確保するための鍵となります」
本レポートによると、CEOの96%がサイバーセキュリティは組織の成長と安定に不可欠であると回答しているにもかかわらず、CEOの74%はサイバー攻撃による事業への損害を回避または最小化する組織の能力に懸念を抱いている。
本レポートでは、サイバーレジリエンスに優れたCEOグループを特定した。アクセンチュアは、このグループを「サイバーレジリエントCEO」と呼び、回答者の5%を占めている。このグループは、組織のあらゆる側面でサイバーセキュリティを評価する広い視野を有している。
このようなリーダーの企業は、他の企業よりも迅速にサイバー脅威を検知し、対応している。その結果、サイバーレジリエントCEOが率いる企業がセキュリティ攻撃を受けた際の復旧コストは大幅に軽減され、財務実績は他の企業よりも大幅に向上し、平均で16%増の増収、21%のコスト削減、19%の健全なバランスシートの改善を達成している。
その反面、「サイバー・ラガーダー(厳格なサイバーセキュリティ対策を講じず、受動的な対応に終始しているCEO)」は、46%を占めている。
サイバーレジリエントCEOが実践している、より積極的な5つの行動
サイバーレジリエントCEOが実践している、より積極的な5つの行動は次の通りだ。
・スタート時点からサイバーレジリエンスをビジネス戦略に組み込む: サイバーレジリエントCEOは、財務業績を管理するのと同じ方法でサイバーセキュリティ対策を管理する傾向が、約2倍高い(60% 対 33%)。
・サイバーセキュリティに関する説明責任を組織全体で共有:サイバーレジリエントCEOは、経営幹部全体で説明責任を共有する傾向がはるかに高く、イノベーションを安全に加速させる競争上の差別化要因としてサイバーセキュリティを支持し(68% 対 37%)、最高情報セキュリティ責任者と緊密に連携し、生成AIなどが引き起こすリスクを評価・管理し、技術が安全かつ効果的に活用されるようにしている(54% 対 33%)。
・組織の中核となるデジタルコアの保護:サイバーレジリエントCEOは、デジタル技術や先進技術の採用や導入が進むにつれて、サイバーセキュリティ対策の予算を増額する予定であると回答する割合が2倍以上(76% 対 35%)。
・組織の境界を超えてサイバーレジリエンスを拡大:サイバーレジリエントCEOは、関係各社に対する具体的なセキュリティポリシーや管理策を導入する傾向が40%高く、事業部門や機能を横断する全社的なリスク評価のアプローチを推進する傾向がさらに高い(64% 対 41%)。
・継続的にサイバーレジリエンスの向上を図り、時代の最先端を行く: サイバーレジリエントCEOは、ビジネスを保護し、サイバー攻撃を効果的に検出・対応するため、変化するリスク状況を考慮している。経営の優先事項に沿い、業界の先端を行くサイバーセキュリティ対策を継続的に確立する傾向がはるかに高い(60% 対 34%)。
グローバルでアクセンチュア セキュリティのサイバーセキュリティ ストラテジーをリードするヴァレリー・アベンド(Valerie Abend)氏は、次のように述べている。
「絶えず進化し、終わりの見えない脅威の状況は、サイバー攻撃がビジネスに与える影響に対するCEOの意識の高まりと、それを軽減する自信のなさの間に大きなギャップを生み出しています。サイバーレジリエンスのギャップを埋めるためには、サイバーセキュリティを組織全体の優先事項としてとらえる必要があります。適切な報告プロセス、あらゆるレベルの従業員の関与、経営幹部と取締役会全体のコミットメントと説明責任の強化が必要です」
<調査方法>
アクセンチュア・リサーチは、2023年6月にオンラインで、日本を含むアジア太平洋地域、北米、南米、欧州、中東の 15カ国19業種の企業(売上10 億米ドル以上)の CEO 1,000人を対象に調査を実施した。本調査は、各組織のサイバーレジリエンスのレベルとサイバーセキュリティ・ビジネスへのアプローチを明らかにすることを目的としている。
出典元:アクセンチュア
構成/こじへい