「備えは十分」と経営者は豪語、「それは過信」とIT責任者は嘆く――調査が明かす“セキュリティの真実”

セキュリティ対策の実態に関する米国組織への調査結果からは、自社のセキュリティ対策に関する経営陣の評価と実態にギャップがあることが明らかになった。

[後藤大地，有限会社オングス]

　デル・テクノロジーズは、組織におけるセキュリティ対策の実態に関する調査結果「Dell Cyber Resilience Insights Report」を公表した。この調査結果からは、自社のセキュリティ対策に対する経営陣の「過信」と、継続的な「防御依存」の意識が、セキュリティ対策の実効性に影響を及ぼしていることが分かった。

「経営者は自社のセキュリティ対策を過信している」とIT責任者の7割が回答

　Dell Technologiesは2025年7月、従業員1000人以上の米国組織（公共機関および民間企業）でIT意思決定に関わる200人を対象に、セキュリティ対策に関する調査を実施した。同社は同年9月17日に公式ブログで、この結果を公開した。今回の調査結果はこの内容を基に、日本法人のデル・テクノロジーズが2025年11月18日、国内向けに要約して発表したものだ。

　セキュリティ対策に対する経営陣の認識と実態との間には、大きな隔たりがありそうだ。「経営陣は、大規模なサイバー有事に対する自社の備えを過大評価している」との回答は69％に上り、IT意思決定者はセキュリティ対策の実態に関する、経営陣への説明に苦慮していることが分かる。経営陣によるこうした過信は、セキュリティ対策の深刻な欠陥を見落とすことにつながりかねないとデル・テクノロジーズは指摘する。

　サイバー攻撃を受けた場合に迅速な復旧を図る「サイバーレジリエンス」にも、経営陣の過信が影響を及ぼしている可能性がある。調査では99％が「何かしらのサイバーレジリエンス戦略を策定済み」だと回答しており、取り組みそのものは広がっている。ただし過半数の53％が「直近の訓練または実インシデントで、効果的な対応と復旧ができなかった」と回答しており、必ずしも実効性を伴うまでには至っていない。

　サイバーレジリエンスの実効性を向上させる上でのハードルとなるのが、防御への依存度の高さだ。「自社の戦略として被害後の復旧への備え以上に、サイバー攻撃の阻止をより重視している」との回答は86％に上った。現状はサイバー攻撃が巧妙化しており、侵入やデータ破壊といった実害を完全に防ぐことは難しい。本来であれば防御策が破られる可能性を前提とした、サイバーレジリエンスの整備が不可欠であるはずだ。

　定期的な訓練の実施が、サイバーレジリエンスの実効性向上に寄与する可能性がある。調査では「サイバー攻撃の訓練や実際の被害時に、復旧に成功した」と答えた回答者の割合は、訓練の頻度が月次かそれ以上の場合は61％に達した。一方で月次以下の場合は38％にとどまった。復旧手順を十分に検証できていなければ、バックアップを取得していても無駄になってしまいかねない。

　今回の調査結果を踏まえたセキュリティ対策の改善ポイントとして、デル・テクノロジーズは防御、検知、復旧の3要素のそれぞれについて、以下の取り組みを推奨する。

• 防御
  • ファームウェア／BIOSレベルの制御によるデバイス保護
  • 保存中や転送中の暗号化によるデータ保護
  • アクセス制御やデータ不変性の確保によるバックアップ保護
• 検知
  • 機械学習（ML）などのAI技術を活用した脅威可視化
• 復旧
  • 訓練の定期的な実施による復旧プロセスの課題特定・解消
  • バックアップなどの重要データを隔離して保管する「サイバーボールト」の活用