「セキュリティが重要」は口先だけ？ 調査で分かった経営幹部のホンネ：セキュリティニュースアラート

バラクーダは日本企業のランサムウェア対策の実態を調査したレポートを公開した。この調査によると、経営幹部の一部は「セキュリティの重要性」を口先だけで指示していることが分かったという。

[田渕聖人，ITmedia]

　バラクーダネットワークス（以下、バラクーダ）は2024年12月16日、「日本の中小企業におけるサイバーレジリエンスVol.2：『人』がセキュリティの成功の鍵を握る」を発行した。

　同調査は、バラクーダが調査会社のTech Research Asiaに依頼し、日本の従業員数50〜200人の組織で働く500人のITプロフェッショナルを対象に2023年11月に実施された。回答者の47％は経営幹部の役割を担っている。

「セキュリティが重要」は口先だけ？　調査で分かった経営幹部のホンネ

　同調査によると、対象となった中小企業のITプロフェッショナルの回答者のうち約4分の3が、「ランサムウェア攻撃を防ぐ自信がない」と回答したことが分かった。

　主な調査結果は、以下の通りだ。

• 調査対象の中小企業の92％はサイバーセキュリティ戦略を立てているが、約4分の3の企業はランサムウェア攻撃を防ぐ自信がない
• 20％以上の回答者は「経営幹部がサイバーリスクに関心がなく、理解していない」と答えた
• 17％の中小企業はインシデント対応計画を策定していない
• 22％の中小企業はサイバーセキュリティの専任者を置いていない

　バラクーダによると、調査対象のほぼ全ての企業が「セキュリティ計画を策定している」と回答した。しかし「ランサムウェア攻撃を防ぐ自信がある」と回答した企業は、約4分の1（28％）にとどまった。

　さらに50％の企業が「多くの重要なセキュリティ管理は、社内で対応できている」と感じていることが分かった。「セキュリティ侵害発生時や発生後、社外への情報提供を実施していない」という回答は16％、「社内への情報提供を実施していない」は16％となり、それぞれ約6社に1社となった。

　この他、「イミュータブル（変更不可）バックアップやオフラインバックアップを実施している」と回答した企業はわずか23％だった。これらのバックアップは、貴重なビジネス資産を改ざんや削除から保護し、ランサムウェア攻撃が発生したときに迅速かつ効果的にデータを復元するのに役立つという。

　調査対象のITセキュリティプロフェッショナルの多くは、「会社の経営幹部によるサイバーセキュリティへの関心や理解、関与が不足している」と報告した。これに関連した調査結果は以下の通りだ。

• 20％の経営幹部は「自社が攻撃されることはないと信じている」と答えた
• 22％の経営幹部は「攻撃を受けることは必然であるが攻撃を食い止める手だてはない」と答えた
• 22％の経営幹部は「サイバーセキュリティ対策は容易であり、懸念は誇張されすぎている」と考えている
• 21％の経営幹部は「サイバーセキュリティを口先だけで支持しており、実際にはその重要性を信じていない」

　バラクーダネットワークスジャパンの執行役員社長である鈴木 真氏は「ITとセキュリティの専門家は、ビジネスに焦点を当てた言葉や概念を使って、サイバーリスクとサイバーセキュリティを社内の同僚に説明する重要な役割を担っている。社内で積極的な連携を図ることが、事業継続性を確保できる適切なサイバーセキュリティ戦略と対応計画を策定するための基盤となる」と語った。