EYグローバル情報セキュリティサーベイ(2021)を発表
[21/10/01]
提供元:共同通信PRワイヤー
提供元:共同通信PRワイヤー
新型コロナウイルス感染症の世界的大流行に伴い急ピッチで導入された新たな勤務形態、サイバー脅威が高まる中でセキュリティ対策の脆弱性が顕在化
・サイバーセキュリティリーダーの56%が、企業はテレワーク要件のハードルを下げるためにサイバーセキュリティプロセスを先送りにしていると回答
・77%が、破壊的なサイバー攻撃が増大していると警戒
・39%が、新たなサイバー課題に対処するのに十分な予算が確保されていないことを懸念
EY Japanは、「EYグローバル情報セキュリティサーベイ2021」(以下、GISS)の調査結果を発表しました。今年で23回目を迎える本調査は、情報セキュリティに関する調査の中でもっとも歴史ある調査のひとつです。本調査結果によると、新型コロナウイルス感染症(COVID-19)の感染拡大を受け、新たな働き方の導入を急ピッチで進めてきた企業は、日々増加・巧妙化するサイバー攻撃のリスクにさらされています。また、セキュリティ対策に十分な予算が割り当てられていないことも本調査で浮き彫りになりました。
2021年度のGISSは、世界各国・地域の企業のサイバーセキュリティリーダー1,000名超を対象に行われました。本調査で、その半数以上(56%)が、「企業は、テレワークや柔軟な勤務形態の導入に係る新たな要件のハードルを下げるために、サイバーセキュリティプロセスを先送りにしている」、と回答しました。また、43%が、サイバー脅威に対する自社の対処能力をこんなにも懸念したことは今までにないと感じており、4人に3人以上(77%)(前年度は59%)が、過去12カ月間でランサムウェアなどの破壊的攻撃の数が増加したと警戒感を示しています。
EYのグローバル コンサルティング・サイバーセキュリティリーダーのKris Lovejoyは、次のように述べています。
「企業がこの1年で適応しなければならなかった変化のスピードは、大きな代償を伴うものでした。生き抜くために迅速な変革を余儀なくされ、多くの場合、セキュリティ面の対応は後回しにされました。このような背景をもって導入された新たな勤務形態の一部を、ポストコロナ時代でも維持しようとする場合、こうしたサイバーギャップに対処せずに単純にそれを続行することは非常にリスクを伴います。しかも、そのリスクは急速に高まっています。最近のランサムウェアの事例を見れば、喫緊の対応がいかに重要であるか一目瞭然です」
EY Japan コンサルティング サイバーセキュリティリーダーの松下直は、次のように述べています。
「日本では海外に比べ導入に慎重であったリモートワークやクラウドの活用が、コロナ過により一気に進みました。ポストコロナにおいてもこの流れは後戻りすることなく、従業員のワークライフバランスを高め企業の生産性を向上する目的に資するITインフラとして定着するでしょう。企業のセキュリティチームは、この新たなITインフラを利便性を落とさず安全に提供することで、企業のビジネスゴールの達成へ貢献できます。そのためにはこの新たなITインフラの利用形態におけるサイバーリスクに対して、限られたリソースで効率的に対応することが求められています。」
サイバーセキュリティ予算とニーズのギャップ:
本調査結果によると、サイバーセキュリティ予算は、サイバー攻撃の脅威が増大しているにもかかわらず、IT支出総額に比べて低い水準のままです。回答企業の昨年度の平均収益額は110億米ドルですが、サイバーセキュリティ支出の平均は、わずか528万米ドルでした。
サイバーセキュリティリーダーの10人中ほぼ4人(39%)が、組織の予算は過去12か月間に発生した新たなサイバー課題の対処に必要な予算を下回っていることに懸念を示しています。ITを活用したサプライチェーン変革の戦略的投資コストに、サイバーセキュリティ関連の費用が十分に組み込まれていないと指摘した回答者も同様の割合を占めています。そして、3分の1以上(36%)が、もっと適切なサイバーセキュリティ投資を行っていれば回避できたであろう重大なサイバー侵害に組織が苦しむのは時間の問題だろうと述べています。
Lovejoyはまた、次のように述べています。
「サイバー攻撃の頻度と巧妙さが増すにつれ、企業は、予算不足と予算制限の影響を痛感するでしょう。安全とセキュリティは、物理的な製品開発プロセスの一部であり、不可欠なものであるのと同様に、デジタル製品やサービスの開発においても、これらを後回しにすることはできません。デジタル製品やサービスにセキュリティが組み込まれていない環境では、サイバーセキュリティ侵害を許してしまうインシデントが多発することは必至でしょう」
上級経営層との信頼関係を醸成して危機をチャンスに変える:
本調査結果によると、サイバーセキュリティリーダーと他の事業部門との本質的な関係は、積極性と強さに欠けています。
本調査に参加したサイバーセキュリティリーダー(41%)によると、彼らとマーケティング部門との関係は消極的であり、28%は、経営幹部と信頼関係を築けていません。「サイバーセキュリティチームは新規のビジネスプロジェクトに企画段階から関与している」と回答した割合も、2020年度の調査では36%だったのに対し、2021年度の調査では、こうした状況を背景に、19%にまで低下しました。そして、「上級経営層は、自社のサイバーセキュリティ機能をビジネスイネーブラーとして捉えていると思う」と回答したサイバーセキュリティリーダーは、わずか25%でした。
EYのグローバル・バイス・チェア(コンサルティング)のErrol Gardnerは、次のように述べています。
「CISOは、組織の変革と長期的価値の実現に向けた取り組みにおいて中核的な役割を担っています。CISO、CEO、その他のCレベル幹部との戦略的関係の醸成に向けた投資は、変革プログラムの成功だけでなく、サイバーセキュリティが組み込まれたプログラムの実行を確実にする一助となり、組織にとっても従業員にとっても有益でしょう」
Errol Gardnerはまた、次のように述べています。
「CEOは、ビジョンの実現に向けて、テクノロジーによるビジネス変革を進める際に、その取り組みに係るサイバーリスクから目を背けてはいけません。一方、CISOは、CEOがサイバーセキュリティ投資の価値を適切に理解し、その投資は変革プロセスの推進に欠かせないものであるということを認識できるようサポートする必要があります」
※本ニュースリリースは、2021年7月26日(現地時間)にEYが発表したニュースリリースを翻訳したものです。英語の原文と翻訳内容に相違がある場合には原文が優先します。
英語版ニュースリリース:Rush to adapt to pandemic working practices exposes underfunded cyber defenses amidst growing threat
<EYについて
EY | Building a better working worldEYは、「Building a better working world(より良い社会の構築を目指して)」をパーパスとしています。クライアント、人々、そして社会のために長期的価値を創出し、資本市場における信頼の構築に貢献します。150カ国以上に展開するEYのチームは、データとテクノロジーの実現により信頼を提供し、クライアントの成長、変革および事業を支援します。アシュアランス、コンサルティング、法務、ストラテジー、税務およびトランザクションの全サービスを通して、世界が直面する複雑な問題に対し優れた課題提起(better question)をすることで、新たな解決策を導きます。EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。EYによる個人情報の取得・利用の方法や、データ保護に関する法令により個人情報の主体が有する権利については、ey.com/privacyをご確認ください。EYのメンバーファームは、現地の法令により禁止されている場合、法務サービスを提供することはありません。EYについて詳しくは、ey.comをご覧ください。本ニュースリリースは、EYのグローバルネットワークのメンバーファームであるEYGM Limitedが発行したものです。同社は、英国の保証有限責任会社であり、顧客サービスは提供していません。
<EYのコンサルティングサービスについて>
EYのコンサルティングサービスは、人、テクノロジー、イノベーションの力でビジネスを変革し、より良い社会を構築していきます。私たちは、変革、すなわちトランスフォーメーションの領域で世界トップクラスのコンサルタントになることを目指しています。7万人を超えるEYのコンサルタントは、その多様性とスキルを生かして、人を中心に据え(humans@center)、迅速にテクノロジーを実用化し(technology@speed)、大規模にイノベーションを推進し(innovation@scale)、クライアントのトランスフォーメーションを支援します。これらの変革を推進することにより、人、クライアント、社会にとっての長期的価値を創造していきます。詳しくはey.com/ja_jp/consultingをご覧ください。
・サイバーセキュリティリーダーの56%が、企業はテレワーク要件のハードルを下げるためにサイバーセキュリティプロセスを先送りにしていると回答
・77%が、破壊的なサイバー攻撃が増大していると警戒
・39%が、新たなサイバー課題に対処するのに十分な予算が確保されていないことを懸念
EY Japanは、「EYグローバル情報セキュリティサーベイ2021」(以下、GISS)の調査結果を発表しました。今年で23回目を迎える本調査は、情報セキュリティに関する調査の中でもっとも歴史ある調査のひとつです。本調査結果によると、新型コロナウイルス感染症(COVID-19)の感染拡大を受け、新たな働き方の導入を急ピッチで進めてきた企業は、日々増加・巧妙化するサイバー攻撃のリスクにさらされています。また、セキュリティ対策に十分な予算が割り当てられていないことも本調査で浮き彫りになりました。
2021年度のGISSは、世界各国・地域の企業のサイバーセキュリティリーダー1,000名超を対象に行われました。本調査で、その半数以上(56%)が、「企業は、テレワークや柔軟な勤務形態の導入に係る新たな要件のハードルを下げるために、サイバーセキュリティプロセスを先送りにしている」、と回答しました。また、43%が、サイバー脅威に対する自社の対処能力をこんなにも懸念したことは今までにないと感じており、4人に3人以上(77%)(前年度は59%)が、過去12カ月間でランサムウェアなどの破壊的攻撃の数が増加したと警戒感を示しています。
EYのグローバル コンサルティング・サイバーセキュリティリーダーのKris Lovejoyは、次のように述べています。
「企業がこの1年で適応しなければならなかった変化のスピードは、大きな代償を伴うものでした。生き抜くために迅速な変革を余儀なくされ、多くの場合、セキュリティ面の対応は後回しにされました。このような背景をもって導入された新たな勤務形態の一部を、ポストコロナ時代でも維持しようとする場合、こうしたサイバーギャップに対処せずに単純にそれを続行することは非常にリスクを伴います。しかも、そのリスクは急速に高まっています。最近のランサムウェアの事例を見れば、喫緊の対応がいかに重要であるか一目瞭然です」
EY Japan コンサルティング サイバーセキュリティリーダーの松下直は、次のように述べています。
「日本では海外に比べ導入に慎重であったリモートワークやクラウドの活用が、コロナ過により一気に進みました。ポストコロナにおいてもこの流れは後戻りすることなく、従業員のワークライフバランスを高め企業の生産性を向上する目的に資するITインフラとして定着するでしょう。企業のセキュリティチームは、この新たなITインフラを利便性を落とさず安全に提供することで、企業のビジネスゴールの達成へ貢献できます。そのためにはこの新たなITインフラの利用形態におけるサイバーリスクに対して、限られたリソースで効率的に対応することが求められています。」
サイバーセキュリティ予算とニーズのギャップ:
本調査結果によると、サイバーセキュリティ予算は、サイバー攻撃の脅威が増大しているにもかかわらず、IT支出総額に比べて低い水準のままです。回答企業の昨年度の平均収益額は110億米ドルですが、サイバーセキュリティ支出の平均は、わずか528万米ドルでした。
サイバーセキュリティリーダーの10人中ほぼ4人(39%)が、組織の予算は過去12か月間に発生した新たなサイバー課題の対処に必要な予算を下回っていることに懸念を示しています。ITを活用したサプライチェーン変革の戦略的投資コストに、サイバーセキュリティ関連の費用が十分に組み込まれていないと指摘した回答者も同様の割合を占めています。そして、3分の1以上(36%)が、もっと適切なサイバーセキュリティ投資を行っていれば回避できたであろう重大なサイバー侵害に組織が苦しむのは時間の問題だろうと述べています。
Lovejoyはまた、次のように述べています。
「サイバー攻撃の頻度と巧妙さが増すにつれ、企業は、予算不足と予算制限の影響を痛感するでしょう。安全とセキュリティは、物理的な製品開発プロセスの一部であり、不可欠なものであるのと同様に、デジタル製品やサービスの開発においても、これらを後回しにすることはできません。デジタル製品やサービスにセキュリティが組み込まれていない環境では、サイバーセキュリティ侵害を許してしまうインシデントが多発することは必至でしょう」
上級経営層との信頼関係を醸成して危機をチャンスに変える:
本調査結果によると、サイバーセキュリティリーダーと他の事業部門との本質的な関係は、積極性と強さに欠けています。
本調査に参加したサイバーセキュリティリーダー(41%)によると、彼らとマーケティング部門との関係は消極的であり、28%は、経営幹部と信頼関係を築けていません。「サイバーセキュリティチームは新規のビジネスプロジェクトに企画段階から関与している」と回答した割合も、2020年度の調査では36%だったのに対し、2021年度の調査では、こうした状況を背景に、19%にまで低下しました。そして、「上級経営層は、自社のサイバーセキュリティ機能をビジネスイネーブラーとして捉えていると思う」と回答したサイバーセキュリティリーダーは、わずか25%でした。
EYのグローバル・バイス・チェア(コンサルティング)のErrol Gardnerは、次のように述べています。
「CISOは、組織の変革と長期的価値の実現に向けた取り組みにおいて中核的な役割を担っています。CISO、CEO、その他のCレベル幹部との戦略的関係の醸成に向けた投資は、変革プログラムの成功だけでなく、サイバーセキュリティが組み込まれたプログラムの実行を確実にする一助となり、組織にとっても従業員にとっても有益でしょう」
Errol Gardnerはまた、次のように述べています。
「CEOは、ビジョンの実現に向けて、テクノロジーによるビジネス変革を進める際に、その取り組みに係るサイバーリスクから目を背けてはいけません。一方、CISOは、CEOがサイバーセキュリティ投資の価値を適切に理解し、その投資は変革プロセスの推進に欠かせないものであるということを認識できるようサポートする必要があります」
※本ニュースリリースは、2021年7月26日(現地時間)にEYが発表したニュースリリースを翻訳したものです。英語の原文と翻訳内容に相違がある場合には原文が優先します。
英語版ニュースリリース:Rush to adapt to pandemic working practices exposes underfunded cyber defenses amidst growing threat
<EYについて
EY | Building a better working worldEYは、「Building a better working world(より良い社会の構築を目指して)」をパーパスとしています。クライアント、人々、そして社会のために長期的価値を創出し、資本市場における信頼の構築に貢献します。150カ国以上に展開するEYのチームは、データとテクノロジーの実現により信頼を提供し、クライアントの成長、変革および事業を支援します。アシュアランス、コンサルティング、法務、ストラテジー、税務およびトランザクションの全サービスを通して、世界が直面する複雑な問題に対し優れた課題提起(better question)をすることで、新たな解決策を導きます。EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。EYによる個人情報の取得・利用の方法や、データ保護に関する法令により個人情報の主体が有する権利については、ey.com/privacyをご確認ください。EYのメンバーファームは、現地の法令により禁止されている場合、法務サービスを提供することはありません。EYについて詳しくは、ey.comをご覧ください。本ニュースリリースは、EYのグローバルネットワークのメンバーファームであるEYGM Limitedが発行したものです。同社は、英国の保証有限責任会社であり、顧客サービスは提供していません。
<EYのコンサルティングサービスについて>
EYのコンサルティングサービスは、人、テクノロジー、イノベーションの力でビジネスを変革し、より良い社会を構築していきます。私たちは、変革、すなわちトランスフォーメーションの領域で世界トップクラスのコンサルタントになることを目指しています。7万人を超えるEYのコンサルタントは、その多様性とスキルを生かして、人を中心に据え(humans@center)、迅速にテクノロジーを実用化し(technology@speed)、大規模にイノベーションを推進し(innovation@scale)、クライアントのトランスフォーメーションを支援します。これらの変革を推進することにより、人、クライアント、社会にとっての長期的価値を創造していきます。詳しくはey.com/ja_jp/consultingをご覧ください。