企業のサイバーセキュリティ対策、実態調査で深刻な課題が明らかに！

企業のサイバーセキュリティ対策、深刻な課題が明らかに

2014年3月、Economist Intelligence Unit（EIU）とArbor Networksが共同で行った調査で、企業のオンラインセキュリティ対策の現状が明らかになりました。その結果、実に83%の企業でセキュリティインシデントへの対策が万全ではないという衝撃的な事実が判明しました。

この調査は、世界各国の大企業のビジネスリーダー360名（73%がCレベルの管理職または取締役会メンバー）を対象に行われ、北米、欧州、アジア太平洋地域からの参加者が含まれていました。

対策不足の実態

調査レポート「Cyber incident response: Are business leaders ready?」によると、過去2年間でセキュリティインシデントを経験した企業は77%にも上るものの、インシデント対応計画を策定している企業はわずか62%にとどまっています。オンラインセキュリティインシデントへの対策が万全であると回答した企業は、世界全体でわずか17%でした。

対策が比較的万全な企業では、IT部門が中心となり、外部のITフォレンジック調査員、弁護士、法執行機関などとも連携しているケースが多いようです。

課題と対策

EIUのシニアエディター、ジェイムズ・チェンバース氏は、企業における本格的なインシデント対策の導入は進んでいるものの、脅威の予測困難さから、組織の実態に即した対応計画の策定が不可欠だと指摘しています。

Arbor Networksのプレジデント、マシュー・モイナハン氏は、サイバー攻撃は「もし発生したら」ではなく「発生したときには」という現実を踏まえ、迅速な検出、特性把握、対応計画の実行が、企業資産や顧客データの保護、ブランド・評判・利益を守る上で極めて重要だと強調しています。

調査結果から見える課題

調査では、以下の点が明らかになりました。

脅威への理解不足: ビジネスリーダーの41%が、潜在的脅威への理解を深めることで対策を強化できると考えています。
ビジネスへの影響予測不能: 企業の半数が、セキュリティ侵害によるビジネスへの影響を予測できないと回答しています。
評判重視: 企業の約2/3が、効果的なインシデント対応は企業評判向上につながると回答しています。
情報共有の不足: 組織の57%は、法的に強制されない限り、インシデントを自主的に報告しないと回答しています。また、ベストプラクティスの共有や他社との比較目的で情報を共有している企業は、全体の3分の1にとどまっています。

今後の展望

調査では、今後数年間でインシデント対応チームと計画を導入している組織の割合が80%を超えると予想されています。また、過去にインシデントを経験した企業は、経験していない企業に比べて、外部専門家への依頼が2倍も多いことがわかりました。

まとめ

この調査結果は、企業におけるサイバーセキュリティ対策の現状と課題を浮き彫りにしました。脅威への理解を深め、迅速かつ効果的なインシデント対応計画を策定し、情報共有を積極的に行うことが、企業の安全を守る上で不可欠です。Arbor NetworksやEconomist Intelligence Unitのような機関による継続的な調査と啓発活動が、企業のセキュリティ対策強化に貢献すると考えられます。