日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと：「もうIT部門だけの課題でないと知るべき」PwCが提言（4/4 ページ）

[岩城俊介，ITmedia]

日本企業の経営者が、情報セキュリティ対策で早急に取り組むべきこと

　では企業は何を考えるべきか。リスクが高い内部関係者は、端的に述べると「情報に対するアクセス権限」を持っており、かつ「組織への忠誠心が低い」人物である。

　「原因は分かりませんでした──では、企業の社会的責任は果たせない。日本企業の多くは、在籍中の従業員のみを内部関係者と定義している。それは違う。退職者、委託先、以前の委託業者なども内部関係者として認識し、それらが不正を働くことを想定した対策を講じなければならない」（PwCの山本氏）

まずは「内部関係者の定義」を変える

　なにより日本企業の経営者が「セキュリティ対策を、経営の課題と認識していない」のが大きな問題と位置付ける。経営者はサイバー攻撃を自社の重大リスクとし、グローバルの3分の2の企業にはすでに役員クラスの情報セキュリティ担当リーダーがいる。対して日本企業は、いまだにこの対策はIT部門の課題と考えている。そんな意識の格差が明らかになった。

役員クラスの情報セキュリティ担当リーダーがいるか　日本とグローバルの差

　リーダーがいない企業、セキュリティ対策をIT部門が主導し、運営する企業は、技術的に攻撃を防ぐ「防御」に注力する傾向がある。当然、これは重要だ。ただ、リーダーがいる企業は、事故が起こることを想定し、インシデント発生時にも迅速な対応がとれるよう、ビジネスの責任者として準備する。結果として、バランスのよいセキュリティ対策の投資にもつながる。経営トップが意識しなければこういった対策はできないと説く。

セキュリティリーダーとなる役員がいる企業は、対策が進むという

　それには「まず役員クラスのリーダーを任命すべき。その意識へ早急に変えるべきだ」（PwCの山本氏）と提言する。

• CEOに直接意見ができ、部門間の利害関係を超越して、横断的にリーダーシップを発揮できる
• 社外から最新の情報を入手できる人脈や情報網を持っている
• リスク感度が高く、どんな状況でも迅速勝つ冷静に意思決定ができる
• 必ずしも、技術の専門家である必要はない

　という人物を役員クラスのリーダー据えるのが望ましいという。

「まず、役員クラスのリーダーを任命し、企業姿勢を示すべき」とPwCが提言

---

　インターネットによる調査で、154カ国（北アメリカ35％、ヨーロッパ34％、アジア14％、南アメリカ13％、中東および南アフリカ4％）、9700人以上の最高経営責任者（CEO）、最高財務責任者（CFO）、最高情報責任者（CIO）、最高情報セキュリティ責任者（CISO）、最高セキュリティ責任者（CSO）、副社長、ITおよび情報セキュリティ役員が回答。うち日本の回答は219人。調査期間は2014年3月27日から5月25日まで。同社「サイバーセキュリティセンター」で、同調査で収集したデータをもとにクライアント企業に特化したセキュリティ対策のベンチマーク調査サービスも提供する。