ニュース

KPMGコンサルティング、「サイバーセキュリティサーベイ2023」を発表

サプライチェーン全体のセキュリティ強化・体制整備などに課題

  • 三柳 英樹

2024年2月27日 09:00

 KPMGコンサルティング株式会社は26日、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2023」を発表した。

 レポートは、さまざまな業種や規模の企業から得られた回答をもとに、「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI導入およびAI導入に関わるリスク管理」の5つのテーマごとにまとめている。

 サイバー攻撃の実態については、回答企業の11.6%が「過去1年間にサイバー攻撃で何らかの業務上の被害があった」と回答している。また、サイバーインシデントによる被害額が「1億円以上」と回答した企業が、2022年に行った前回の調査の1.2%から6.7%に増加し、「1000万円~1億円未満」でも14.9%から23.3%に大幅に増加しており、被害額が高額化の傾向にあることが伺えるとしている。

過去1年間に発生したサイバーインシデントの合計被害額

 過去1年間に発生したサイバー攻撃の侵入経路については、子会社や委託先のシステムを経由した攻撃が41.5%を占め、本社のシステムへの直接的な攻撃の約2倍となっており、サプライチェーン全体でのセキュリティの強化が不可欠だとしている。

過去1年間に発生したサイバー攻撃の侵入経路

 セキュリティ管理態勢と対策については、最高情報セキュリティ責任者(CISO)やサイバーセキュリティ責任者を設置していると回答した企業は60.9%にとどまった。また、セキュリティオペレーションセンター(SOC)を導入していない企業は、回答企業の半数以上の55.0%に上り、CSIRT(セキュリティ事故対応チーム)を設置していない企業は72.7%に上るなど、セキュリティインシデントの発生に備えた体制の整備については改善の余地が残っているとしている。

SOCの整備状況

 サイバーセキュリティ予算については、回答企業の68.2%が「不足している」と回答している。特に、従業員数が1000人未満の企業でその傾向が強く、サプライチェーンを構成する中小企業などの取引先におけるサイバーセキュリティ対策に影響を与えることが懸念されるとしている。さらに、サイバーセキュリティ人材については、88.8%の回答企業が「不足している」と回答しており、この傾向は従業員規模にかかわらず、前回の調査よりも増加しているという。

サイバーセキュリティ人材の状況

 海外子会社については、近年、海外を含めた子会社を経由したサイバー攻撃が増える中、今回の調査では39.1%の企業が「海外子会社のセキュリティ対策の取り組みを把握していない」と回答しており、子会社における取り組みの実態の把握が求められると指摘。また、海外子会社のセキュリティ対策状況の把握方法については、43.4%が「調査票」と回答し、「監査」と「外部のリスク評価サービス」は19.9%と8.0%にとどまり、今後は外部サービスの活用やGRC(ガバナンス・リスク・コンプライアンス)ツールの活用が望まれるとしている。

サイバーセキュリティ対策状況の把握方法

 制御システムセキュリティについては、今回の調査では、制御システムを利用している企業の43.4%が、セキュリティ成熟度を5段階で評価する指標で最も低い「成熟度レベル1」と回答し、「成熟度レベル4」と「成熟度レベル5」と回答した企業の合計は5.5%にとどまった。一方、グローバルで実施された調査をもとにした「(CS)2AI - KPMG制御システムサイバーセキュリティ年次報告書2022」によると、海外では「成熟度レベル1」の企業は16.0%にとどまっており、海外に比べて日本企業の成熟度が低い傾向が明らかになったとしている。

 また、未然に防がれた攻撃を含め、制御システムへのサイバー攻撃の経路で最も多かったものは「電子メール」で、前年調査の16.9%から21.4%へと増えた一方、「マルウェア感染したリムーバブルメディア」は21.3%から6.0%に大幅に減少していることから、他のシステムとのネットワーク接続の増加により、ネットワーク接続での攻撃の可能性が高まっていること分析している。

制御システムに関するセキュリティ事故・事象(未然に防がれたものを含む)の攻撃経路

 AI導入とAI導入に関わるリスク管理については、AIの導入は71.4%の回答企業が「導入済み・導入計画あり」と回答し、多くの企業がAIの導入に積極的であると説明。また、AIの導入を検討している業務内容についての設問では、「質問・問い合わせ対応の補助」や「データ分析」といった、一般的にAIが得意とされ、かつソリューションの選択肢が多い分野において前向きな検討が行われていると分析している。

 一方で、個人情報の取り扱いに配慮が必要であったり、人間の判断要素が大きいと考えられる「採用」や「人事評価」の分野へのAIの導入は、前向きな企業は10%程度にとどまり、これらの分野でのAIの導入に抵抗感があることが伺えるとしている。

 AIの導入に係るリスクにおいては、「プライバシー侵害」と「アウトプットの正確性」について「非常に懸念している」と「少し懸念している」を合わせると60%を超える一方、AIリスクを管理する組織やルール、プロセスについて「整備済み」と回答した企業は4.3%にとどまり、AIリスク管理の整備が遅れている状況が明らかになったとしている。

AI導入リスク