日本企業の平均セキュリティ投資額は2.1億円でグローバルの半分（PwC）

プライスウォーターハウスクーパース株式会社（PwC）は11月5日、グローバル情報セキュリティ調査 2015（日本版）」の結果を発表した。本調査は2014年3月27日から5月25日、世界154カ国のCEO、CFO、CIO、CISO、CSOなど9,700名以上を対象に実施したオンライン調査。日本の回答は219名。発表に先立ち、同社パートナー・サイバーセキュリティセンター長である松崎真樹氏は、2014年はサイバーセキュリティの脅威を感じなかった日本企業はないくらいの1年であったとし、セキュリティでも「サイバー」の部分を特に意識すべきと述べた。

続いて調査結果の報告を同社ディレクター・PwCサイバーセキュリティCoE イーストクラスター代表（セキュリティ戦略担当）である山本直樹氏が行った。グローバルでの調査結果においては、インシデント件数が約5千件と前年比32％増、1社あたりの年間平均被害額が2.72億円と前年比34％増と激増しているにも関わらず、セキュリティ投資額は年間平均4.2億円と前年比で4％減少した。また、大企業は中堅企業に比べ、インシデント件数で3.1倍、被害額で4.5倍となり、大企業ほど狙われやすい傾向が明らかになっている。

セキュリティ投資額の減少については、2013年頃に標的型攻撃対策のためセキュリティ投資を大幅に増加した影響も考えられると山本氏は指摘。実際に投資額が減少している業界は、航空宇宙・防衛業界（-25％）、テクノロジー業界（-21％）、自動車業界（-16％）、小売業・消費財業界（-15％）と、知的財産や顧客情報など金銭的価値の高い情報資産を保有する業種において減少が顕著であった。

日本においても脅威が急激に増えており、その質、量ともに一昔前とは全く違うものになっている。その状況に対し、昨年1年間のセキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と世界全体と2倍の差があった。とはいえ、約3割の日本企業はセキュリティ投資を増加させ、積極的に対応しようとしていることも明らかになった。こうした企業を細かく見ていくと、「セキュリティのリーダーがいる」「セキュリティ戦略が存在する」「対策の効果測定を行っている」という特徴が浮き彫りになった。

山本氏は、従来と今後は「セキュリティ投資の考え方」「想定する犯人像」「攻撃の目的」「攻撃アプローチ」「想定インパクト」のすべてが変化しており、特にセキュリティ投資を単に「支出」と見なす経営者の考えは正すべきであるとした。また、日々複雑化し増大する脅威に対して、対策を検討・実施するための十分なセキュリティ投資（人・モノ・金・情報）が不可欠であるとした。