ニュース
約9割が「セキュリティ人材不足」 KPMGが2023年の調査レポートを公開:セキュリティニュースアラート
KPMGコンサルティングは国内企業のサイバーセキュリティの調査結果をまとめた「サイバーセキュリティサーベイ2023」を発表した。調査によると、約9割の企業でセキュリティ人材が不足している。
KPMGコンサルティングは2024年2月26日、「サイバーセキュリティサーベイ2023」を発表した。
約9割が「セキュリティ人材不足」 調査の結果から判明した企業の課題
サイバーセキュリティサーベイ2023は、国内の上場企業および売上高400億円以上の未上場企業を対象に、サイバー攻撃の実態やセキュリティ管理態勢など複数の側面から企業のセキュリティ対策を評価したものだ。
同レポートは分析結果を「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI(人工知能)導入関連のリスク管理」のテーマにまとめている。
主な調査結果は以下の通りだ。
- サイバー攻撃の実態: 回答者の11.6%が「過去1年間にサイバー攻撃で何らかの業務上の被害があった」とし、そのうち6.7%は「サイバーインシデントによる被害額が1億円以上」であり、「サイバーインシデントによる被害額が1000万円から1億円未満」と回答した企業も23.3%に上った。被害額が1000万円以上の組織の割合は前回の調査よりも増加しており、被害額が高額化している。調査によると、子会社や委託先のシステムを経由した攻撃が41.5%を占めており、本社のシステムへの直接的な攻撃の約2倍だった。サプライチェーン全体でのセキュリティ強化が不可欠であることが示されている
- セキュリティ管理態勢と対策: 60.9%が「CISO(最高情報セキュリティ責任者)やCSO(サイバーセキュリティ責任者)を設置している」と答えた。一方で、55.0%が「SOCを導入していない」、72.7%が「CSIRTを設置していない」と回答した。68.2%が「サイバーセキュリティ予算が不足している」とし、88.8%が「サイバーセキュリティ人材が不足している」と答えた。セキュリティ人材不足が深刻化し、中小企業におけるサイバーセキュリティへの予算不足、セキュリティ管理体制の不備が浮き彫りになった
- 海外子会社管理: 39.1%が「海外子会社のセキュリティ対策の取組みを把握していない」、43.4%が「海外子会社のセキュリティ対策状況の把握方法は調査票」と回答した。
- 制御システムセキュリティ: 制御システムを利用している日本企業の43.4%が「セキュリティ成熟度を5段階で評価する指標で最も低い成熟度レベル1」と回答した。海外では「成熟度レベル1」と答えた企業の割合が16.0%と日本より30ポイント近く低かった。サイバー攻撃経路は「電子メール」(21.4%)が最も多く、これに「改ざんされた第三者Webサイトへの誘導」(6.6%)と、マルウェア感染したリムーバブルメディア(6.0%)が続いた
- AI導入に関連したリスク管理: 71.4%が「AIを導入済み・導入計画あり」と回答した。調査結果は多くの企業がAIの導入に積極的であることを示している
関連記事
- ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。 - 「完全にやりすぎ」 インシデント開示規則の撤廃を求める企業たち
ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。 - 高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.