経営層の約50％が誤解！サイバーセキュリティのビジネスへの影響とは？

トレンドマイクロでは、26の国と地域における法人組織の意思決定者2820名を対象に、サイバーセキュリティに関する意識調査を2023年3月に発表しました。本記事では、その調査結果から見てきた実情について紹介していきます。
※パーセンテージは小数点第1位で四捨五入しています。そのため合計が100%を超える場合があります。

セキュリティ投資への増加傾向がみられる2023年

VPNの侵害やサプライチェーンを狙ったサイバー攻撃など、法人組織を狙う脅威は止まることがありません。トレンドマイクロでは、昨年2022年の1年間に、約1460億もの脅威を検出しました。これは、前年（2021年：約940億）と比較すると約1.5倍もの増加となっており、企業や組織がますます脅威に晒されている現状が明らかになっています。
一方で、IT部門の意思決定者を対象に2023年のセキュリティ投資に関して尋ねたところ、回答者の約3分の2を占める65％が、2023年にはセキュリティ投資を増やす予定であると回答していることが明らかになりました（図1）。この結果をどうのように解釈することができるのでしょうか。コロナ禍や地政学などビジネスにおける不確実性が続くなか、法人組織のビジネスにおける意思決定者がビジネスリスクとサイバーリスクの関係性をより理解し、持続的な成長に向けて積極的な戦略へ踏み出していると結論付けることができるのでしょうか。調査結果を介して、それとはかけ離れた様々なギャップが見てきました。

図1：「あなたの組織における2023年のセキュリティ投資はどのようにプランされていますか」
（グローバル：n=565：IT部門の意思決定者対象）

依然とみられる経営層のサイバーセキュリティに対する理解の不足

経営層のサイバーセキュリティへの理解不足は、これまでも多くの場で語られてきました。セキュリティ分野が専門的であるがゆえに経営層も積極的な関与がしにくいといった背景や、ビジネス効果が見えにくい、費用の妥当性の判断が難いなど理由は多岐にわり、それらを解消するためにIT部門による様々な葛藤や地道な活動が多くの法人組織で行われてきています。しかし、今回の調査からもまだまだ経営層のサイバーセキュリティに関する理解が十分ではないということが明らかになりました。
法人組織のビジネスにおける意思決定者の半数以上にあたる52％がサイバーセキュリティは必要なコストだが収益には貢献しないと主張し（図2）、同程度（49％）がサイバーセキュリティの価値やその意義は攻撃や脅威の防止に限られていると認識していることが分かりました（図3）。また、３分の１以上（39％）は、セキュリティはビジネスを実現するものではなく、単に障壁であるとさえ考えていることが明らかになりました。
サイバーセキュリティは必要ではあるが、ビジネスの収益に直結するものではなく、時にはビジネスを妨げる障壁にもなりえるという認識がまだまだ経営層の中には深く根付いているようです。
一方で日本の結果にフォーカスしてみると、サイバーセキュリティは必要なコストだが収益には貢献しないと主張する回答者は32％を占め、グローバル平均の52％より20ポイントも低く、調査対象国の中でも一番低い数値となりました。また、セキュリティはビジネスを実現するものではなく、単に障壁であると考えている回答者も25%に留まり、グローバル平均と比較しても日本では経営層のサイバーセキュリティに対する理解が進んでいることが分かりました。

図2：「サイバーセキュリティは必要コストだが収益には貢献しないと思いますか」
（グローバル：n=2820：ビジネスの意思決定者対象）

図3：「サイバーセキュリティの価値やその意義は攻撃や脅威の防止に限られていると思いますか」
（グローバル：n=2820：ビジネスの意思決定者対象）

経営層の認識とは矛盾するビジネスへの実影響

昨今はサプライチェーンリスクの観点などから、お客様や取引先からの自社に対するセキュリティ体制の問合せ・要求も高まっています。これらはビジネスにも直接影響を与える要件となります。本調査でも、72％が、見込み客やサプライヤーとの交渉の際に自社のセキュリティ体制について質問されていることを認めており（図4）、そのうちの79%が情報提供の要求の頻度が増えていると回答しています。日本でも半数近い45%が自組織のセキュリティ体制について質問されていると回答しており、これらのデータからも、持続的なビジネス成長を推進するにあたり、サイバーセキュリティの取り組みを行っているビジネスパートナーを選びたいという法人組織の戦略がうかがえます。

さらに、81%はサイバーセキュリティの資格が今後の新規ビジネスの獲得に影響すると考えていると回答し（図5）、その回答者のうちの約5分の1にあたる22%はすでに影響を受けていると認めていることが明らかになっています。このように、サイバーセキュリティは、もはや自社に対する攻撃や脅威への防御としての役割だけではなく、重要なビジネス要件として組み込まれてきていることが分かります。セキュリティ対策が不十分だったために、最終的にビジネスパートナーとして選ばれず、それが直接収益にも影響を及ぼす損失へと繋がっていくのです。

図4：「見込み客やサプライヤーとの交渉時に自組織のセキュリティ体制について質問されたことはありますか」
（グローバル：n=2820：ビジネスの意思決定者対象）

図5：「サイバーセキュリティの資格が今後の新規ビジネスの獲得に影響すると思いますか」
（グローバル：n=2820：ビジネスの意思決定者対象）

サイバーセキュリティを強化するために

この調査から、サイバーセキュリティが新しいビジネスを獲得するための重要な要素であることが明らかになりました。法人組織がセキュリティへの投資を最大限に活用するためには、ビジネスリーダーはサイバーセキュリティに対する見方を変え、サイバーセキュリティが自組織にどのようなプラスの影響を与えるのかをより広く考える必要があります。セキュリティに対する誤った固定観念がまだまだ経営層で根強く残っているのは問題であり、その認識を変えていくことがサイバーセキュリティを強化する上での鍵となります。

＜調査概要＞
調査名：トレンドマイクログローバル調査
「Risk & Reward:Reconciling the conflicted views of business leaders on the value of cybersecurity」
調査公開：2023年3月
調査対象：26の国と地域^※における法人組織の意思決定者2820名
調査方法：：Web調査
※オーストラリア(101名)、オーストリア(101名)、ベルギー(100名)、デンマーク(101名)、フィンランド(101名)、フランス(100名)、ドイツ(101名)、香港(100名)、インド(103名)、インドネシア(100名)、イタリア(101名)、日本(103名)、マレーシア(100名)、オランダ(101名)、ノルウェー(100名)、フィリピン(100名)、サウジアラビア(100名)、シンガポール(101名)、スペイン(100名)、スウェーデン(100名)、スイス(105名)、台湾(100名)、タイ(100名)、アラブ首長国連邦(100名)、米国(301名)、英国(100名)