「セキュリティリーダー不在」が顕著な日本企業、PwC調査で：ITの問題ではなく経営課題ととらえよ

　「セキュリティは単なるITの問題ではなく、経営上のリスクとしてとらえなければならない。必ずしもITのスペシャリストでなくてもいい。役員クラスのリーダーを任命して、企業として取り組む姿勢を見せるべきだ」（プライスウォーターハウスクーパースディレクター／サイバーセキュリティCoE イーストクラスター代表 山本直樹氏）。

　プライスウォーターハウスクーパース（PwC）は2014年11月5日、「グローバル情報セキュリティ調査 2015（日本版）」の結果に基づく説明会を開催し、日本企業の情報セキュリティに対する姿勢にいくつかの提言を行った。

プライスウォーターハウスクーパースディレクター／サイバーセキュリティCoE イーストクラスター代表 山本直樹氏

　グローバル情報セキュリティ調査 2015は、PwCとCIO Magazine、CSO Magazineが共同で、2014年3月27日から5月25日にかけて実施した。ちょうどHeartbleedやInternet Explorerのゼロデイ脆弱（ぜいじゃく）性などが世間を騒がせていた時期だ。世界154カ国のCEOやCFO、CIO、CSOなどを対象にオンラインで実施し、9700人以上から回答を得たという。うち219人は日本からの回答だった。

　説明会では主に、グローバルと日本とで回答に違いが見られた3つの点にフォーカスが当てられた。1つは、セキュリティ投資額の多寡だ。2013年の平均的なセキュリティ投資額は、世界全体では年間4.2億円だったのに対し、日本企業では年間2.1億円と、2分の1にとどまった。それ以前の投資なども関わってくるため一概にはいえないが、「日本企業の持っている知的財産や資産を踏まえると、果たしてそれでいいのか考える必要がある」と山本氏は指摘した。

　これと表裏一体の関係にあると考えられるのが、2つめのポイントである、情報セキュリティに関する役員クラスのリーダーの不足だ。グローバルでは64％の企業で「情報セキュリティに関する役員クラスのリーダーがいる」のに対し、日本企業では41％にとどまった。この結果は、「情報セキュリティを経営課題ととらえているかどうかに関して、大きな開きがあることを示すもの」（山本氏）という。

　情報セキュリティに関するリーダーの有無は、対策実施状況にも差をもたらしていた（情報セキュリティを経営課題としてとらえていないという現状からもたらされる、別の結果かもしれないが）。セキュリティリーダー不在の企業では、ファイアウォール導入やマルウェア対策ツールの導入といった「防御」に注力する傾向が高いのに対し、リーダーがいる企業では「インシデントレスポンス体制の構築」「業界内でのセキュリティ情報連携」など、検知や対応といった部分でも対策が進みつつある。これは、「リーダーがいる企業では全体にセキュリティ投資に積極的である上、そもそも『何らかのセキュリティ事故は起こるものだ』という認識に立っていろいろと準備している」（山本氏）ことを示すものという。

　もう1つ、内部関係者による情報漏えい対策に関しても、グローバルと日本とで差が見られた点がある。それは、インシデントの発生原因が「分からない」と回答した人の割合で、海外では18％にとどまったのに対し、日本企業では43％に上った。「これでは外部に対する説明責任も果たせない。分からない、という状況を1日も早く脱することが重要だ」（山本氏）。逆にいえば、企業としてリスクに向き合い、契約や監査を通じた不正防止だけでなく検知にも取り組んでいる企業では、「分からない」とする回答は少なくなるのではないだろうか。

　山本氏は、金融庁が2016年中をめどに、情報セキュリティリスク（サイバーリスク）を有価証券報告書などに開示する仕組みの導入を目指しているという動きに触れ、「情報セキュリティは経営者にとっても重要な課題になる」と指摘。まずは、組織横断的に動くことができ、かつ社外から最新の情報を入手できる人脈や情報網を持って、自社の情報資産に応じたリスク判断を下せる人物を役員クラスのリーダーとして任命し、会社として情報セキュリティリスクに向き合っていく姿勢を示すべきだとした。

　また今回の調査では、企業規模が小さくなるにつれ、セキュリティリーダー不在の割合が高くなることも明らかになっている。日本の年商10億ドル以上の大企業では56％が「リーダーがいる」と回答したが、年商1億ドル規模の企業では37％にとどまった。業務委託先も含めた内部情報漏えい対策という観点のみならず、これら中堅、中小企業も含めた底上げをどのように実現していくかも課題となるだろう。