今回は、ITセキュリティの専門企業であるDelina社が2023年5月に発表した調査報告書「The Impact of Business Alignment on Cybersecurity Effectiveness」を紹介させていただく。タイトルに表現されているとおり、本報告書は企業におけるサイバーセキュリティのための取り組みが、果たしてビジネス面の目的・目標や戦略との間で整合(align)されているかどうか、という部分にフォーカスしたものとなっている。
本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://delinea.com/resources/aligning-cybersecurity-and-business-outcomes
(PDF 24ページ/約 1.3 MB)
本報告書は、世界22カ国にある従業員500人以上の企業に勤務する、ITセキュリティに関する意思決定者2000人を対象に行われたアンケート調査の結果に基づいている。22カ国の内訳については、米国からの回答が10%、英国とアイルランドからの回答を合わせて10%と、やや多めになってはいるが、欧州をはじめアジア、中東、アフリカも含めて多くの国から回答が集められており、特定の国・地域に偏らないよう配慮されている。なおアジアからの回答は、シンガポールとマレーシアを合わせて5%、台湾と香港を合わせて5%となっており、日本からの回答はない。
まず図1は、サイバーセキュリティに対する取締役や経営層(注1)の認識状況に最も近いものを、図中の4つの選択肢から選ばせた結果である。4つの選択肢の意味は上から順に次のとおりである。
・より良い事業活動を可能にするものとして十分理解されている
・サイバーセキュリティの重要性は理解されているが、単にコンプライアンスや規制に対する要求としてである
・重要性は理解されているがビジネス上の優先事項ではない
・サイバーセキュリティについて明確に理解されていない
これらの選択肢のなかで上から3つめまでは、サイバーセキュリティの重要性そのものは理解されているということであるから、これらを合計すれば取締役や経営層の92%が、サイバーセキュリティが重要だということは理解しているということになる。しかしながら、サイバーセキュリティとビジネス面の整合が図られていると言えるのは1つめのみであり、これを選択した回答者は39%しかいない。本報告書ではこのギャップ、つまりサイバーセキュリティの重要性を理解している経営層のなかで、ビジネス面との整合性まで理解が進んでいる人が相対的に少ないことについて、「痛ましい」(painful)と表現されている。
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方