3 分 2019年7月25日
ラップトップで作業する女性プログラマ

企業の成長戦略のためのサイバーセキュリティを取り入れるには?

執筆者

Richard Watson

EY Asia-Pacific Cybersecurity Risk Advisory Leader

Cybersecurity leader in the EY Asia-Pacific region. Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.

3 分 2019年7月25日

強固なサイバーセキュリティ戦略は、もはや単なる事業運営コストではありません。企業が事業を継続できるかどうかを決定する要因なのです。

サイバーセキュリティについて語るときの傾向として、多くの企業は次の2つ:ハッカーと情報漏えいを思い浮かべることでしょう。

実際に、サイバー攻撃者はさらに進化したフィッシングやマルウェアの技術など、より洗練された手口を使って大規模企業、小規模企業、公的機関、民間組織の弱点を無差別に狙うようになりました。

サイバー攻撃の真の代償 – 生産性とレピュテーショナル(評判)における資産価値の崩壊という観点から – 想像を絶する深刻な結果となる恐れがあります。サイバーセキュリティへのブリーチ(侵入・攻撃)に伴うコストは世界全体でみると2021年までに6兆米ドルに達するという試算もあります。※1 最下部に参照あり

サイバー脅威をただ、にらみ付けて見ているだけのリーダーシップチームに与えられた課題は明白です。企業が24時間365日セキュリティ監視を稼働させていなければならない中で、攻撃者は1度だけ幸運を手にできれば良いのです。

サイバーセキュリティは企業のニーズを満たしていない

89%

企業のニーズを満たすサイバーセキュリティの機能がないと回答した企業の割合

それを理解しているにも関わらず、回答者の89%はサイバーセキュリティ機能が組織のニーズを完全には満たしていないと回答しています。※2最下部に参照ありさらに、取締役会がリスクを効果的に管理するために必要なサイバーセキュリティに関する知識を十分備えている、と回答した企業はわずか36%でした。

サイバーセキュリティ関連の問題は、最高情報セキュリティ責任者(CISO)の仕事であると捉えられがちです。しかし、企業が業務をデジタル化・自動化するほど、攻撃にさらされやすくなります。

頻繁に目にする事態: CISOが取締役会で前に出てくるときは、既にサイバーセキュリティへのブリーチ(侵入・攻撃)が起こった後です。CISOと取締役会との連携不足という現実は、危険な状態を表しています。EY’s latest Global Information Security Survey (GISS)(EYの最新グローバル情報セキュリティサーベイ)では、取締役会と経営陣が情報セキュリティに関する知識を十分に備えており、サイバーリスクによる影響と予防措置の有効性を十分に評価できている、と回答したのはわずか36%でした。企業が直面している最大のリスクは、信頼すべき内部関係者やサプライチェーンにおけるサードパーティ(外部委託先)です。それにも関わらず、EYの最新のGISSでこれらについて、最大のサイバーリスクとして特定した回答者はわずか34%でした。オンラインの業務を拡大すればするほど、デジタルエコシステムの強度は、つなぎ目が弱く切れやすい鎖のようになってしまいます。

取締役会が先導する積極的なサイバーセキュリティへのアプローチの手段として、適切なシステムとテクノロジーを取り入れていれば、サイバー攻撃の対策だけでなく企業の成長も実現できるでしょう。

オーストラリア情報コミッショナー事務局(OAIC)による最新の数字を参考にすると、2018年7月から9月の期間にオーストラリア企業が報告したデータ漏えいのインシデントは245件でした。そのうちの20%は、メール、郵便、ファックス等による個人情報の送付先の誤りによるもので、その他の20%はフィッシング詐欺に起因する漏えいでした。

解決策となるのは、”もし対応したら”ではなく”いつまでに対応するか”といった、取締役会が先導する積極的なサイバーセキュリティへのアプローチなのです。サイバー攻撃に対応するだけでなく、企業の成長も可能にする適切なシステムとテクノロジーを備えたアプローチでなくてはなりません。EYではこのアプローチを「トラスト・バイ・デザイン(信頼性の設計)」と呼んでいます。つまり、テクノロジーに対する投資ではなく、信頼性への投資なのです。最終的に顧客からのロイヤルティを構築するのはセキュリティであり、将来の成長戦略は、顧客からのロイヤルティと信頼性に大きく左右されるでしょう。

成長戦略の一環としてサイバーセキュリティを活用する準備はできていますか?問い掛けてみてください:

プロテクション: 増え続けるサイバーセキュリティ攻撃のリスクに直面した今、会社そのもの、そして最も重要な会社の資産をどのように保護すべきか。サイバーセキュリティ上の明らかな弱点だけでなく、規制上の責任も考慮しましょう。

最適化: サイバーセキュリティのどの活動を自動化することが可能で、どの活動をよりコスト効率の高い方法で実施できるか。また、最大のリスクの先を読むためには何をすべきかでしょうか?

成長: 安全なセキュアチャネル(PC起動時のパスワードや暗号化認証処理をするセキュリティ)を新たに設計・構築し、成長のためにセキュリティとプライバシーを差別化するにはどうすればよいでしょうか?

現在、10社の企業のうち4社がサイバーセキュリティの最終責任者は取締役会または経営陣のメンバーであると述べています。セキュリティが成長の主要な成功要因として進化するにつれ、この割合も増えていくでしょう。

強固なサイバーセキュリティ戦略は、もはや単なる事業運営コストではありません。企業が事業を継続できるかどうかを決定する要因なのです。

  • 参照を表示#参照を非表示

    1. 「Cybercrime Report 2017 Edition(2017年サイバークライムレポート)」(Cyber security Ventures 2017年10月19日)
    2. 「EY Global Information Security Survey 2018–19(グローバル情報セキュリティサーベイ  2018-19)」

サマリー

サイバーセキュリティ関連の問題は、最高情報セキュリティ責任者(CISO)の仕事であると捉えられがちです。しかし、企業が業務をデジタル化・自動化するほど、攻撃にさらされやすくなります。解決策となるのは、”もし対応したら”ではなく”いつまでに対応するか”といった、取締役会が先導する積極的なサイバーセキュリティへのアプローチなのです。サイバー攻撃に対応するだけでなく、企業の成長も可能にする適切なシステムとテクノロジーを備えたアプローチでなくてはなりません。

この記事について

執筆者

Richard Watson

EY Asia-Pacific Cybersecurity Risk Advisory Leader

Cybersecurity leader in the EY Asia-Pacific region. Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.