約9割が「セキュリティ人材不足」 KPMGが2023年の調査レポートを公開：セキュリティニュースアラート

KPMGコンサルティングは国内企業のサイバーセキュリティの調査結果をまとめた「サイバーセキュリティサーベイ2023」を発表した。調査によると、約9割の企業でセキュリティ人材が不足している。

[後藤大地，有限会社オングス]

　KPMGコンサルティングは2024年2月26日、「サイバーセキュリティサーベイ2023」を発表した。

KPMGコンサルティングはサイバーセキュリティサーベイ2023を発表した（出典：KPMGコンサルティングのWebサイト）

約9割が「セキュリティ人材不足」　調査の結果から判明した企業の課題

　サイバーセキュリティサーベイ2023は、国内の上場企業および売上高400億円以上の未上場企業を対象に、サイバー攻撃の実態やセキュリティ管理態勢など複数の側面から企業のセキュリティ対策を評価したものだ。

　同レポートは分析結果を「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI（人工知能）導入関連のリスク管理」のテーマにまとめている。

　主な調査結果は以下の通りだ。

• サイバー攻撃の実態：　回答者の11.6％が「過去1年間にサイバー攻撃で何らかの業務上の被害があった」とし、そのうち6.7％は「サイバーインシデントによる被害額が1億円以上」であり、「サイバーインシデントによる被害額が1000万円から1億円未満」と回答した企業も23.3％に上った。被害額が1000万円以上の組織の割合は前回の調査よりも増加しており、被害額が高額化している。調査によると、子会社や委託先のシステムを経由した攻撃が41.5％を占めており、本社のシステムへの直接的な攻撃の約2倍だった。サプライチェーン全体でのセキュリティ強化が不可欠であることが示されている
• セキュリティ管理態勢と対策：　60.9％が「CISO（最高情報セキュリティ責任者）やCSO（サイバーセキュリティ責任者）を設置している」と答えた。一方で、55.0％が「SOCを導入していない」、72.7％が「CSIRTを設置していない」と回答した。68.2％が「サイバーセキュリティ予算が不足している」とし、88.8％が「サイバーセキュリティ人材が不足している」と答えた。セキュリティ人材不足が深刻化し、中小企業におけるサイバーセキュリティへの予算不足、セキュリティ管理体制の不備が浮き彫りになった
• 海外子会社管理：　39.1％が「海外子会社のセキュリティ対策の取組みを把握していない」、43.4％が「海外子会社のセキュリティ対策状況の把握方法は調査票」と回答した。
• 制御システムセキュリティ：　制御システムを利用している日本企業の43.4％が「セキュリティ成熟度を5段階で評価する指標で最も低い成熟度レベル1」と回答した。海外では「成熟度レベル1」と答えた企業の割合が16.0％と日本より30ポイント近く低かった。サイバー攻撃経路は「電子メール」（21.4％）が最も多く、これに「改ざんされた第三者Webサイトへの誘導」（6.6％）と、マルウェア感染したリムーバブルメディア（6.0％）が続いた
• AI導入に関連したリスク管理：　71.4％が「AIを導入済み・導入計画あり」と回答した。調査結果は多くの企業がAIの導入に積極的であることを示している