KPMGコンサルティング、「サイバーセキュリティサーベイ2023」を発表

KPMGコンサルティング株式会社（本社：東京都千代田区、代表取締役社長 兼 CEO：宮原 正弘、以下、KPMGコンサルティング）は、国内の上場企業および売上高400億円以上の未上場企業を対象に実施した、企業のサイバーセキュリティに関する実態調査の結果をまとめたレポート「サイバーセキュリティサーベイ2023」を本日発表しました。

コロナ禍を経て社会のデジタル化が一段と進んだ結果、サイバー攻撃もより高度に、かつ巧妙になっています。最近では、脆弱性への対策が不十分な企業や組織への攻撃が増加傾向にあり、データの暗号化や機密データの窃取、さらに、重要データの暗号化に加え、持ち出した機密データで脅迫する二重脅迫型ランサムウェアなどにより、サイバーインシデントによる被害が深刻化しています。

6回目となる今回の調査では、回答企業の10社に1社が過去1年間にサイバー攻撃による被害を受けたと回答しています。このような状況において、サイバーセキュリティに関するリスクについて理解を深めるとともに、適時適切に対策を講じるために自社の現状を把握し、どこにリスクが潜んでいるかを理解することが企業を「守る」うえで重要となります。

本レポートは、さまざまな業種や規模の企業から得られた回答をもとに、「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI導入およびAI導入に係るリスク管理」の5つのテーマごとにまとめています。

本調査では、回答企業の11.6%が、「過去1年間にサイバー攻撃で何らかの業務上の被害があった」と回答しています。また、サイバーインシデントによる被害額が「1億円以上」と回答した企業が、2022年に行った前回の調査の1.2%から6.7%に増加し、「1,000万円～1億円未満」でも14.9%から23.3%に大幅に増加しており、被害額が高額化の傾向にあることがうかがえます。

過去1年間に発生したサイバー攻撃の侵入経路については、子会社や委託先のシステムを経由した攻撃が41.5%を占め、本社のシステムへの直接的な攻撃の約2倍となっており、サプライチェーン全体でのセキュリティの強化が不可欠であることが明らかになりました。

今回の調査では、最高情報セキュリティ責任者（CISO）やサイバーセキュリティ責任者を設置していると回答した企業は60.9%にとどまりました。また、セキュリティオペレーションセンター（SOC）を導入していない企業は回答企業の半数以上の55.0%にのぼり、CSIRT（Computer Security Incident Response Team：セキュリティ事故対応チーム）を設置していない企業は72.7%にのぼるなど、セキュリティインシデントの発生に備えた体制の整備については改善の余地が残っていることがうかがえます。

サイバーセキュリティ予算については、回答企業の68.2%が「不足している」と回答しています。特に、従業員数が1,000人未満の企業でその傾向が強く、サプライチェーンを構成する中小企業などの取引先におけるサイバーセキュリティ対策に影響をあたえることが懸念されます。さらに、サイバーセキュリティ人材については、88.8%の回答企業が「不足している」と回答しており、この傾向は従業員規模にかかわらず、前回の調査よりも増加しています。

近年、海外を含めた子会社を経由したサイバー攻撃が増えるなか、今回の調査では、39.1%の企業が「海外子会社のセキュリティ対策の取組みを把握していない」と回答しており、子会社における取組みの実態の把握が求められます。また、海外子会社のセキュリティ対策状況の把握方法については、43.4%が「調査票」と回答し、「監査」と「外部のリスク評価サービス」は19.9%と8.0%にとどまり、今後外部サービスの活用やGRC（ガバナンス・リスク・コンプライアンス）ツールの活用が望まれます。

今回の調査では、制御システムを利用している企業の43.4%が、セキュリティ成熟度を5段階で評価する指標で最も低い「成熟度レベル1」と回答し、「成熟度レベル4」と「成熟度レベル5」と回答した企業の合計は5.5%にとどまりました。一方、グローバルで実施された調査をもとにした「（CS）²AI - KPMG制御システムサイバーセキュリティ年次報告書2022」によると、海外では「成熟度レベル1」の企業は16.0%にとどまっており、海外に比べて日本企業の成熟度が低い傾向が明らかになりました。

また、未然に防がれた攻撃を含め制御システムへのサイバー攻撃の経路で最も多かったものは「電子メール」で、前年の16.9%から21.4%へと増えた一方、「マルウェア感染したリムーバブルメディア」が前回の21.3%から6.0%に大幅に減少していることから、他のシステムとのネットワーク接続の増加により、ネットワーク接続での攻撃の可能性が高まっていることがうかがえます。

AI（人工知能）の導入については、71.4%の回答企業が「導入済み・導入計画あり」と回答し、多くの企業がAIの導入に積極的であることがうかがえます。また、AIの導入を検討している業務内容についての設問では、「質問・問い合せ対応の補助」や「データ分析」といった一般的にAIが得意とされ、かつソリューションの選択肢が多い分野において前向きな検討が行われていることがうかがえます。一方で、個人情報の取り扱いに配慮が必要であったり、人間の判断要素が大きいと考えられる「採用」や「人事評価」の分野へのAIの導入に前向きな企業は10%程度にとどまり、これらの分野でのAIの導入に抵抗感があることがうかがえます。

AIの導入に係るリスクにおいては、「プライバシー侵害」と「アウトプットの正確性」について「非常に懸念している」と「少し懸念している」を合わせると60%を超える一方、AIリスクを管理する組織やルール、プロセスについて「整備済み」と回答した企業は4.3%にとどまり、AIリスク管理の整備が遅れている状況が明らかになりました。

名称：企業のサイバーセキュリティに関する調査
対象：国内上場企業、および売上高400億円以上の未上場企業のサイバーセキュリティ責任者
調査期間：2023年6月9日～7月3日
調査方法：郵送によるアンケート票の送付・回収、ウェブによるアンケートの回収
有効回答数：258社

本レポートの全文はこちらからダウンロードできます：「サイバーセキュリティサーベイ2023」

＜サイバーセキュリティ関連レポート一覧＞

• AIは信頼できるか ～AIへの社会的認識の変化に関するグローバル調査2023
• サイバーセキュリティ主要課題2023
• （CS）²AI - KPMG制御システムサイバーセキュリティ年次報告書2022

KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション（事業変革）、テクノロジートランスフォーメーション、リスク＆コンプライアンスの3分野から企業を支援するコンサルティングファームです。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。