“デキるCEO”はセキュリティにどう取り組んでいるのか？――アクセンチュア調査：セキュリティニュースアラート

アクセンチュアは全世界のCEOに対して実施したサイバーセキュリティに関する調査結果を公表した。調査によると、CEOはサイバーセキュリティに対して誤った思い込みを持っているようだ。

[後藤大地，有限会社オングス]

　アクセンチュアは2023年10月27日、日本を含む世界15カ国のCEOに対して実施したサイバーセキュリティに関する調査結果「The Cyber-Resilient CEO（サイバーレジリエントCEO）」を公開した。

　調査によると、CEOはサイバーセキュリティ対策が組織の成長と安定に不可欠であると考えているにもかかわらず、サイバー攻撃に対して十分な備えを実現できているかどうかについて懸念を抱いているという。

アクセンチュアはCEOに対して実施したサイバーセキュリティに関する調査結果を公開した（出典：アクセンチュアのWebサイト）

セキュリティ対策コストはサイバー攻撃被害より高い？　CEOがしがちな誤解

　同調査は、日本を含む世界の有力企業に属する1000人のCEOを対象に実施された。調査によると、CEOはサイバーセキュリティの重要性を認めつつ、十分にこれを構築できておらず、セキュリティリスクやインシデント発生後のコストが増大していることが分かった。

　この他の主な調査結果は以下の通りだ。

• 半数以上（54％）のCEOがサイバーセキュリティ対策のコストは、サイバー攻撃を受けた際に発生する場合のコストよりも高いという誤った思い込みを持っている
• CEOの90％がサイバーセキュリティ対策の重要性を認識しているが、その課題を取締役会で議論する対象と捉え、かつ実施している割合は15％だった
• CEOの91％がこうした問題をCIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）の管轄であると考えている
• CEOの64％が「サイバー攻撃者は生成AI（人工知能）を利用して、フィッシングやソーシャルエンジニアリング、自動ハッキングなど、高度で検知が困難なサイバー攻撃を仕掛ける可能性がある」と回答している

　アクセンチュアはサイバーレジリエンスに優れたCEOグループ（回答者の5％）を「サイバーレジリエントCEO」と呼称し、その特徴として以下の5つの行動を紹介している。

• スタート時点からサイバーレジリエンスをビジネス戦略に組み込む：　サイバーレジリエントCEOは、財務業績を管理するのと同じ方法でサイバーセキュリティ対策を管理する傾向が、約2倍高い
• サイバーセキュリティに関する説明責任を組織全体で共有：　サイバーレジリエントCEOは、経営幹部全体で説明責任を共有する傾向が高く、イノベーションを安全に推進する上で、他社との差別化要因としてサイバーセキュリティを支持している。またCISOと緊密に連携し、生成AIなどが引き起こすリスクを評価・管理し、技術が安全かつ効果的に活用されるようにしている
• 組織の中核となるデジタルコアの保護：　サイバーレジリエントCEOは、デジタル技術や先進技術の採用や導入が進むにつれて、サイバーセキュリティ対策の予算を増額する予定であると回答する割合が2倍以上になっている
• 組織の境界を超えてサイバーレジリエンスを拡大：　サイバーレジリエントCEOは、関係各社に対する具体的なセキュリティポリシーや管理策を導入る傾向が40％高く、事業部門や機能を横断する全社的なリスク評価を推進する傾向がさらに高い
• 継続的にサイバーレジリエンスの向上を図り、時代の最先端を行く：　サイバーレジリエントCEOは、ビジネスを保護し、サイバー攻撃を効果的に検出し、対応するため、変化するリスク状況を考慮している。経営の優先事項に沿い、業界の先端を行くサイバーセキュリティ対策を継続的に確立する傾向がはるかに高い

　サイバー攻撃が企業にもたらす影響は深刻さを増しており、企業には効果的な対応が求められている。担当者が技術的に対応することには限界があり、経営層がその重要性を認識し取締役会のレベルから情報共有および経営へ効率的に反映することが重要になってきている。