タニウムは4月27日、国内企業675社を対象に実施した「国内におけるサイバーインシデントと事業継続性の実態調査レポート」を発表した。その概要は以下のとおり。
・経営と現場で復旧目標を合意できている企業は2割
サイバーインシデント発生時における復旧目標時間(RTO)について、経営が許容できるビジネスの限界停止時間と「協議して合致させている」と回答した企業は20.4%に留まった。
・IT資産を100%把握・リアルタイム監視できている企業は19.1%、シャドーITへの懸念は72.3%
ネットワーク接続デバイス100%把握し、その脆弱性までリアルタイムに監視できている企業は19.1%に留まり、約8割の企業が「見えない資産」や「監視の空白時間」を抱えていた。また、企業が把握しきれていない管理外資産(シャドーIT)に何らかの懸念を持つと回答した企業は72.3%だった。
・セキュリティ運用を一元管理できている企業は27.3%
複数のセキュリティ機能を統合管理し、一元的な状況把握ができている企業は27.3%に留まり、ツールの分散・サイロ化が依然として課題であることが分かった。インシデント対応を全面的に自動化している企業は19.7%に留まった。
・セキュリティ投資を“経営投資”と捉える企業は4割未満
セキュリティ投資を「KPI化された投資」として捉えている企業は36.9%にとどまり、44.7%の企業が「コスト」として認識していた。依然として、サイバー対策が事業継続や競争力強化に向けた経営投資として位置づけられていない実態が浮き彫りに。
・製造業はIT資産可視化・投資意識で先行、金融業は訓練・初動対応で高水準、流通業は対策格差が顕著
業種別に見ると、製造業はIT資産可視化や投資意識で先行する一方、OT環境やサプライチェーン由来のシャドーITへの懸念が高かった。金融業は訓練実施率や初動フロー整備率など実行面で高水準を示し、規制対応を背景とした成熟度がうかがえる。
一方、流通・小売・商社では、セキュリティを投資として捉える企業とコストとして捉える企業の差が大きく、対策レベルの“二極化”が顕著に。公務・公共分野では、意思決定や経営報告体制の整備余地が浮き彫りとなっている。
■総論
この調査により、多くの企業で従来型BCPと現代のサイバーリスクとの間にギャップがある実態が明らかになった。経営層が関与した復旧目標(RTO)の設定や迅速な意思決定体制、初動訓練まで整備できている企業は限定的。また、IT資産の可視化やシャドーITの統制も十分とは言えず、「見えない資産」が侵入口や復旧遅延の要因となる可能性がある。
今後は、分散した運用を統合するプラットフォーム整備と、自動化による迅速な対応体制の構築が不可欠。したがって、サイバーレジリエンス強化は、IT部門だけでなく経営課題として取り組むことが必要となる。
関連リンク