PwC サイバーセキュリティに関するグローバルの調査と日本の調査
こんにちは、丸山満彦です。
所属組織の宣伝めいた内容はブログに書かないのですが、これは例え所属組織でなかったとしても、多くの人に読んでもらいたいと思ったので、紹介です。。。
一つは、グローバル3,500名を超える役員に調査をした結果をまとめたものです。(日本語で読めます...)
サイバーセキュリティ対策は経営問題なのから、経営者 (CxO) がまさにBoard Roomに集まって議論をして対応をしましょう。という話です。経営者であれば、取締役会や経営会議で会社の重要事項を色々と議論し、会社の方針として決議していると思いますが、それと同じレベルで、同じことをすべきですよね。という話です(当たり前といえば当たり前の話ですが。。。)
その議論の時に、CEOならその立場を利用してどういう貢献ができるか?、CFOならどうか?、CIOならどうか?、さらには株主の委任を受けた取締役としてはどうか?というような話が書いています。。。
日本では橋渡し人材の話が出ていますが、それはもちろん重要なのですが、一段上のCxOのレベルで本当に議論しましょうね!という話です。。。
● PwC Japan
・2023.01.11 サイバー有事に備えたCxOの結束の必要性『Global Digital Trust Insights 2023年版』調査結果より
・[PDF]
オリジナルはこちら...
・A C-suite united on cyber-ready futures - Findings from the 2023 Global Digital Trust Insights
・[PDF] (情報入力が求められます...)
もう一つは、日本の調査ですが、その結果を踏まえて、一歩先をいくサイバーセキュリティ対策を考えています。情報に基づいてセキュリティ対策をダイナミック(動的)に変えていくという考え方です。
ただ、この考え方は、私がNISCにいるときに、すでに亡くなられた山口先生とも議論していた話(当時はMoving Targetにいかに対応するかという文脈でした)で、目新しいわけではないのですが、その重要性がより高まり、かつ、それが実施できる環境も整ってきたということだと思います。
例えば、
● 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT
・2007.01.18 [PDF] 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT 第1回情報通信PT 議事録 (2006.12.19開催)
○山口委員
...セキュリティの問題として嫌なのが、1個やれば全部片づくというわけではなくて、リスクの変化というのがありますので、ムービングターゲットを追っかけていくというところがあって、常にいろんな問題が出てくる。また、こういったリスク低減を目指すという研究をやっていっても、ある一定の成果を出しても、すぐにリスクは変容するというようなところで、同じテーマの名前でどんどん研究が変わっていくという特性なんかもあるわけです。
...
それからもう一つは、先ほど申し上げましたリスク低減型研究というのに関しては、レビューが必要であると思っています。これは特にムービングターゲットを持っているという性質上、変化するリスクを可視化することで本当に最初計画されていた幾つかの問題というのを解くと。例えば、スパムを解くとか、ボットを解くとか、いろいろ解くものを決めているんですけれども、これらの質が変わるというところで、本当に状況の変化にキャッチアップすることをちゃんとやっているのかどうかということをやることで、施策の中で足りない領域をちゃんとアイデンティファイすること。それから、萌芽的研究が存在するかを見ていくということがあります。
● IT media
・2005.06.03 Linuxが情報セキュリティ管理に果たす役割とは?
われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」(山口氏)。
逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」(同氏)として位置付けていくことができるとした。
さて、肝心のPwCの報告書ですが、こちらです。。。
・2023.01.12 2023年 Cyber IQ調査 ―インテリジェンス活用によるダイナミックなセキュリティ対策への転換
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.12.07 日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換
Comments