EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EY Japanの視点
今回の米国での調査は、日本企業においても同様の課題を示しています。経営層のサイバーセキュリティ意識は高まりつつあり、経営課題として認識されている点は米国と一致します。一方、日本では最高情報セキュリティ責任者(CISO)の不在や任命の遅れが依然として見られ、米国ほど体制が成熟していない点は相違点です。ただし、米国の後追いで、日本もいずれ同様の状況に進むと考えられます。従来、日本ではセキュリティ投資を「コスト」と捉える傾向が強かったものの、近年は投資家からの信頼獲得や企業価値向上につながる「戦略的投資」として評価する動きが出ています。これはグローバルの潮流と合致しており、今後さらに加速するでしょう。日本企業にとっては、特にサプライチェーンを起点としたランサムウェア攻撃による被害が増加する中、サイバーインシデントがブランド毀損(きそん)や株価下落など長期的影響を及ぼすことを認識し、経営戦略にサイバーセキュリティを組み込むことが急務です。EY Japanとしては、経営層から業務の最前線まで企業全体で共通認識を形成し、AI活用や人材育成を含む包括的なセキュリティ戦略を推進することを提言します。
EY Japan の窓口
竹中 淳一
EY新日本有限責任監査法人 Technology Risk事業部 プリンシパル
高松 有二
EY新日本有限責任監査法人 Technology Risk事業部 シニアマネージャー
※所属・役職は記事公開当時のものです
EYの新たな調査によると、サイバーセキュリティが依然として重要な課題であることが分かりました。経営幹部の84%が3年前と比べてサイバーセキュリティを重視する姿勢が強まったと回答しています。また、今後1年間でさらに強まると答えた人も85%に上りました。
経営幹部の大多数(84%)が過去3年間に組織でサイバーセキュリティインシデントが発生したと回答していますが、この1年で最も多かったインシデントはスパイウェア、ドメイン名のなりすまし、未知・未対処のセキュリティ上の欠陥を突くゼロデイ攻撃です。
EYによるラッセル3000構成企業の分析からも、企業がサイバーセキュリティインシデントに伴う重大な財務リスクに直面していることを明らかにしています。これには、原状回復に必要なコストを超えた経済的影響が含まれます。この分析結果では、株価の下落とサイバーセキュリティ侵害の直接的な相関関係が示されています。サイバーセキュリティインシデントの発生によって、企業の株価は、発表直後だけでなく、発生後90日間も下がり続け、インシデントが発生していない企業と比べて、顕著な差が見られました。企業は影響が想定より長く続くことによって、サイバーインシデントに伴う財政的負担を実感しています。
「2025 EY Cybersecurity Study: Bridging the C-suite disconnect」の結果からは、最高情報セキュリティ責任者(CISO)と他の経営幹部の間に憂慮すべき認識の相違が生じていることも明らかになりました。CISOと他の経営幹部との認識の違いは、サイバー脅威に対する4つの主要分野に集中しています。
1
認識の相違:1
自社はどの程度のリスクにさらされているのか
今回の調査から、CISOと他の経営幹部間において、サイバーセキュリティ対策が脅威に迅速に対応しているか、脅威が過小評価されていないかについて、認識が異なることが分かりました。
CISOは他の経営幹部よりサイバーセキュリティに対する懸念が強い
CISO(66%)は他の経営幹部(56%)より、自社が直面するサイバーセキュリティ脅威が、自社の対策の先を行っているのではないかと懸念を示す傾向にあります。
また、多くの人が自社がこれまでサイバーセキュリティ脅威を過小評価してきたことへの懸念を示しており、脆弱性が依然として解消されない現状が浮き彫りとなりました。最高経営幹部がサイバーセキュリティ脅威の危険性を過小評価していることに懸念を示す割合についても、CISOは68%で、他の経営幹部の57%を上回っています。CISOの多くが問題視しているのは、サイバーセキュリティインシデントが起こるかどうかではなく、いつ、どのように起こるかです。
EYの分析によると、サイバーセキュリティインシデントの経験がある企業ほど、幹部の懸念が高まる傾向があります。つまり、この懸念は先手を打つものではなく、攻撃を受けた後に強まる「事後的」なものであることがうかがえます。
2
認識の相違:2
自社のサイバーセキュリティ対策予算はどれくらいか
経営幹部間で、現在および今後のサイバーセキュリティに対する投資額について見解の相違があります。
サイバーセキュリティ予算に対する見解の相違
CISOは他の経営幹部と比べ、予算の総額を高く回答する人が多く、現在、サイバーセキュリティ予算の総額が7桁以上と回答した人は全体の67%に上ります(他の経営幹部は45%)。
来年度の予算においては、この差がさらに広がり、7桁以上と答えた人はCISOが82%であるのに対し、他の経営幹部は53%にとどまっています。これは独立したサイバーセキュリティ予算枠を設けている組織が少なく、実際の支出額が分かりにくいことが一因であると考えられます。
一方、人工知能(AI)に関して、CISOは自社のサイバーセキュリティ戦略や体制を前進させる力があると考えています。AIを戦略に欠かせない要素と答えた割合はCISOが90%で、他の経営幹部の81%より高い結果となりました。
興味深いことに、サイバーセキュリティ対策にAIを活用している組織の経営幹部(80%)は、活用していない組織の幹部(70%)に比べ、サイバーセキュリティ予算において、新たなテクノロジーソリューションより人材への投資(サイバーセキュリティ分野の人材の採用や現従業員のスキル向上など )を優先すべきだと回答する傾向にあります。AIは、サイバーセキュリティ機能が進化する中で、効果をもたらす要因の1つとなっています。
3
認識の相違:3
インシデント削減に効果があるのは何か
経営幹部の間では、どのテクノロジーあるいはイニシアチブがサイバーセキュリティインシデントの削減に役立つのかについて、見解が分かれています。
サイバーセキュリティインシデント減少の要因に関する幹部の見解の相違
意外なことに、CISOが、「AIへの投資がサイバーインシデント削減に寄与している」と回答した割合が最も多いことが明らかになりました。「AIへの投資拡大後に組織のサイバーインシデントが減少した」と答えた割合は、CISOが75%で、他の経営幹部は68%です。一方で、他の経営幹部(77%)はCISO(69%)に比べ、サイバーセキュリティインシデント減少の要因に「従業員のサイバーセキュリティ研修への投資」を挙げる傾向にあります。
4
認識の相違:4
サイバー脅威を生む要因とは
過去のインシデントの要因に関する理解の相違は、将来の脅威に備えた予防策を構築する上で課題となります。
インシデントの要因が内部要因か外部要因かを巡る幹部の見解の違い
「過去3年間に内部要因 (従業員による個人情報の意図的な窃取や漏えい)に起因するサイバーセキュリティインシデントを経験した」と回答した割合は、CISOが47%で、他の経営幹部の31%を上回りました。
また、CISO(57%)は他の経営幹部(47%)に比べ、「過去3年間にサイバー犯罪者によるサイバーセキュリティインシデントを経験した」と回答する割合が高い傾向にあります。こうした過去のインシデント原因に対する認識の違いは、将来の脅威への備えを難しくしています。
業界別インサイト
サイバーセキュリティ予算に関する経営幹部の認識の違い
経営幹部の大部分(84%)がサイバーセキュリティへの投資をコストと 見なし 、多く(68%)が「自社はサイバーセキュリティ脅威から組織を守るための投資より、短期的な収益を生む投資を優先している」に同意しました。
こうした認識は、サイバーセキュリティ予算をどのように組むかにも表れており、サイバーセキュリティに独立した予算枠を設けている(組織全体の予算やIT予算とは別にしている)と回答した経営幹部は18%にとどまっています。
経営幹部の過半数(68%)は、サイバーセキュリティをIT予算の一部と見なしています。その結果、サイバーセキュリティは製造や財務、事業変革といった戦略的領域と同列に扱われず、他の優先課題と競合しがちです。
経営幹部の認識差を克服するための4つの行動
現在のサイバーセキュリティへの取り組みでは状況を改善することはできません。サイバーセキュリティに投資をしている経営幹部の大部分(83%)が、投資額にかかわらず、「自社は適切な額の投資をしている」と回答した一方、多くの幹部(60%)は自社が直面するサイバーセキュリティ脅威が企業の防御策を上回っているのではないかと懸念しています。
支出内容の透明性と明確な業績指標がなければ、混乱は避けられません。このことは、今回の調査で明らかになった4つの経営幹部の認識の相違にも表れています。CISOが脅威と脆弱性の高まりを感じている一方、他の経営幹部はサイバーセキュリティに対応できていると考える人が多く見受けられます。実際、CISOの63%は、他の幹部にサイバーセキュリティ投資を優先させることに苦労していると認めています。
今回の調査は、経営幹部が連携し、進化する脅威に対応する包括的なサイバーセキュリティ戦略を早急に策定する必要性を強調しています。
また、その戦略には、明確な情報発信、リスク・機会および優先投資分野についての共通理解が必要です。
企業は「チェック項目を確認する」という姿勢から脱却して、サイバーセキュリティを単なるコストで はなく、戦略的投資と認識する必要があります。今こそ、CISOなどのセキュリティ責任者に、必要な予算や人材だけでなく、意思決定権も与え、主体的にレジリエンスを高められる組織を築けるようにすべきです。何の対策も講じなければ、多大な犠牲を払うことになりかねません。
サイバーリスクが高まり、不確実な経済環境の中、投資の価値を最大化するために経営幹部がとるべき4つの行動は以下のとおりです。