お使いのブラウザーはサポートされていません。

このサイトを利用するには、ブラウザーを更新する必要があります。

X
日本 JP
Americas
Asia Pacific
Europe
Middle East & Africa
日本語 JPN
Skyline lights landscape building

グローバル・サイバーリスク意識調査報告書2019年版

Microsoft社とMarshは、特に急速に進化するビジネス環境の中で、世界中の企業におけるサイバー・リスクへの認識と、
リスクマネジメントの現状を調査し、グローバル・サイバーリスク意識調査報告書2019年版を発行しました。

はじめに

人工知能、IoT(Internet of Things)、データの可用性、ブロックチェーン、様々な技術が継続的に発展を遂げ、グローバルなビジネス環境を劇的に変えつつあります。
デジタル技術の進化と伝統的なビジネスモデルの破壊のスピードは増し続けています。
同時に、サイバーリスクの進化も加速しているようです。サイバーリスクは、データ侵害やプライバシーの問題にとどまらず、ビジネス、産業、サプライチェーン、国家全体を混乱させ、経済において何十億ドルもの資金を犠牲にし、あらゆる分野の企業に影響を及ぼすような、複雑な問題となっています。
2019年の「グローバル・サイバーリスク認識調査報告」では、企業がサイバーリスクを認識し、管理する方法に積極的な改善の兆しが多く見られることが明らかになりました。
サイバーリスクは、今や企業のリスクマネジメントにおいて最重要課題の一つとなっていますが、多くの分野において、より厳格で包括的なサイバーリスクマネジメントを実行しようとする前向きな行動を見て取ることができます。

調査ハイライト

本報告書の主なポイントは、以下の通りです。:

企業はサイバーを最優先課題と考えているが、
サイバーレジリエンスへの信頼感は低下している

サイバーリスクは過去2年間、企業の優先事項としてより確実に定着してきています。しかしながら、同時に企業のリスク能力への信頼度は低下しています。

  • 本調査にご協力いただいた企業のうち79%がサイバーリスクを自社の上位5つの関心事としてランク付けしており、これは2017年の62%から上昇しています。
  • サイバーレジリエンス(事象が起きた場合の復元力や強靭さ)の重要な3分野については、いずれも企業の信頼は低下し、「自信がない」との回答が増加しました。:
    • 「サイバーリスクの把握・評価」については「自信がない」との回答が9%から18%へ増加しました。
    • 「サイバー脅威の防止」については、「自信がない」との回答が12%から19%へ増加しました。
    • 「サイバー事象への対応と回復」については、「自信がない」という回答が15%から22%へ増加しました。
サイバーリスクの増大をもたらす新しい技術

技術革新は、多くのビジネスにとって不可欠ですが、同時に、企業の技術進化に複雑化をもたらします。サイバーリスクはその一つです。

  • 2019年の本調査にご参加いただいた企業のうち77%が、少なくとも1つの革新的な運営技術を採用した、または検討していると回答しました。
  • 50%は、サイバーリスクが新しい技術の採用の障壁となることはほとんどない、との見解を示していますが、多くの中小企業を含む23%は、新しい技術を採用する際、リスクに対する懸念がビジネス上の潜在的利益を上回ると回答しました。
  • 新しい技術の採用前にリスク評価を実施した企業は74%でしたが、導入した技術のライフサイクルを通してリスク評価実施した企業はわずか5%であり、11%は何の評価をしていませんでした。
相互依存型のデジタル・サプライ・チェーンの拡大は、
新たなサイバーリスクをもたらす

サプライチェーンの相互依存とデジタル化の進展は、サイバーリスクの増大をすべての当事者にもたらしますが、多くの企業はリスクを一方的なものと認識しています。

  • 多くの企業が、サプライチェーン・パートナーによってもたらされる自社へのサイバーリスクと、自社が取引先に及ぼすサイバーリスクのレベルの差に関して、見解に食い違いがみられました。
    • 39%が、サプライチェーン・パートナーや彼らの企業のベンダーがもたらすサイバーリスクは高い、またはやや高いと回答しました。
    • しかし、自社がサプライチェーンに与えるサイバーリスクは高いか、やや高いと答えた人はわずか16%でした。
  • 回答者は、自社のサイバーリスクマネジメントに対して、サプライヤーよりも高い基準を設定する可能性が高い、という結果が得られました。
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
サイバーリスクマネジメントにおける政府の役割に対する期待が、
複雑な視点を作り出している

企業は一般的に「サイバーリスクマネジメントにおいて、政府の規制や業界基準にもたらす効果は限定されている」と考えています。ただし、注目すべき例外は、国家による攻撃です。

  • 28%の企業が、政府の規制や法律がサイバーセキュリティの改善に非常に効果的である、と考えています。
  • 37%の企業が、ソフトウェア産業の基準がサイバーセキュリティの改善において非常に効果的である、と考えています。
  • 主要な相違点は、国家主体によるサイバー攻撃に関するものです。:
    • 回答者の54%が、国家レベルでのサイバー攻撃を強く懸念している、と回答しています。
    • 55%が、国家レベルのサイバー攻撃から企業を保護するためには、政府はもっと努力する必要がある、と回答しました。
レジリエンスではなく、予防に重点を置いたサイバー投資

多くの企業は、サイバーリスクを防ぐための防衛技術や投資に焦点を当てており、評価、リスク移転、危機管理対応計画、その他のサイバーレジリエンス(リスクへの対応力もしくは事象発生後からの復元力)を構築するリスクマネジメントの分野を軽視する傾向があります。

  • 情報技術/情報セキュリティ(IT/InfoSec)部門がサイバーリスクマネジメントの3つの主要な担当責任部門の1つであると全体の88%の企業が回答しており、次いで、エグゼクティブリーダーシップ/取締役会(65%)、およびリスクマネジメント(49%)となっています。.
  • 過去1年間、サイバーリスクに関して2-3日以上費やしたと答えた幹部は、わずか17%に過ぎません。
  • 64%の企業が、自社へのサイバー攻撃が、サイバーリスクに関連する支出の増加を招く最大の要因になるだろう、と回答しました。
  • 30%の企業が、サイバーリスクへの脆弱性を示すために定量的な方法を用いて報告したと回答していますが、この数字は2017年の17%より増加していることが見て取れます。
  • 過去2年間で83%がコンピュータとシステムのセキュリティを強化したと回答しましたが、リスクマネジメントに関するトレーニングやサイバーロスシナリオのモデル化を行った企業は30%に満たないという結果を示しました。
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)
サイバー保険

変化する脅威に対応するためにサイバー保険の適用範囲が拡大しつつあり、保険証券に対する姿勢にも変化がみられています。

  • 47%の企業がサイバー保険に加入していると回答しており、2017年の34%から増加しています。
  • 大企業の方がよりサイバー保険に加入している傾向がみられ、売上高10億ドルを超える企業の57%がサイバー保険に加入しており、他方で売上高同1億ドル未満の企業では36%にすぎなかった。
  • サイバー保険が自社のニーズを満たすかどうか確信がもてないと回答した企業は、2017年の44%から31%に減少しました。
  • サイバー保険に加入している企業の89%は、当該証券がサイバー事故に要する費用を填補すると強く確信あるいはかなり自信があると回答しました。
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

 

重要なポイント

実務レベルにおいて、本年度の調査は以下のようにいくつものベストプラクティスを挙げています。これらのベストプラクティスは、最もサイバー復元力(レジリエント)のある企業にすでに採用されいます。そして、すべての企業が採用を検討すべきだと言えるでしょう。

  • ガバナンス、説明責任、リソース、行動に関する明確かつ共有の基準を備えた、強固で組織的なサイバーセキュリティ文化を構築すること
  • より良い情報に基づいた資本配分の決定を促進させ、効果測定を実現させ、そして他の企業リスクと同様に経済的な観点からサイバーリスクの枠組みを検討するためにサイバーリスクの定量化を行うこと
  • 新しい技術がサイバーリスクに及ぼす影響を、テクノロジーのライフサイクル全体の継続的かつ将来にわたるプロセスとして評価すること
  • 企業のパートナーへのサイバーリスクがもたらす影響を含め、サプライチェーンネットワーク全体の信頼と共有するセキュリティ基準の必要性を認識しつつ、サプライチェーンリスクを全体の問題として管理すること
  • すべての関係者により強力な防御と基準に基づくベストプラクティスを提供できるよう、重大なサイバーリスク課題に対する官民パートナーシップを追求し、支援していくこと。

結論

企業のサイバーリスク管理能力への信頼が低下しているにもかかわらず、より多くの企業がサイバー脅威の重要性を明確に認識し、ベストプラクティスを模索し、受け入れ始めているようです。

効果的なサイバーリスクマネジメントには、リスク評価、測定、軽減、転嫁、計画を含む包括的なアプローチが必要であり、最適なプログラムは各社固有のリスクプロファイルと耐久力に関連しています。

しかしながら、これらの示唆は今日の企業が直面しているサイバーリスクのなかでも、共通かつ早急に対応すべき課題に対するのものであり、真のサイバーレジリエンスの構築に向けた道しるべにすぎない、と考える必要があるでしょう。

別法人のサイト(外国のサイトを含みます)へ接続します。

これより先は別法人のサイト(外国のサイトを含みます)へ接続します。
接続する場合は「別法人のサイト(外国のサイトを含みます)へ接続する」を、接続しないでこのメッセージを閉じる場合は「このページにとどまる」をクリックして下さい。