トレンドマイクロ株式会社と株式会社日経リサーチは7月1日、国内の大企業に勤めるセキュリティ責任者・DX責任者を対象に実施した「サイバーセキュリティに関する調査」の結果を発表した。
同調査は6月2日から8日に、日本国内の従業員規模1,000名以上の企業のセキュリティ責任者・DX責任者(経営層~部長級)を対象にインターネット調査を実施、300の回答を得ている。
同調査でCISO(Chief Information Security Officer、最高情報セキュリティ責任者)またはCSO(Chief Security Officer、最高セキュリティ責任者)を社内に設置しているか尋ねたところ、設置していると回答したのは38.7%で、CISO/CSOという呼称とは異なるセキュリティトップのポジション設置を含めると73.3%にのぼったが、一方でいずれも設置していないとの回答は24.3%あった。
CISO/CSO(呼称の異なる同等ポジションを含む)を設置していると回答した人に、CISO/CSO自身の役職を尋ねたところ、「経営者」が7.3%、「役員クラス」が64.5%で、7割以上が経営に関与するポジションを担っていることが明らかになった。直接のレポートライン(指揮命令系統)は「CEO(最高経営責任者)」が49.1%で、「CIO(最高情報責任者)」が12.3%、「COO(最高執行責任者)」が10.0%、「CRO(最高リスク管理責任者)」が9.1%と続きました。
自社の委託先、グループ会社、グローバル拠点いずれかに対して、サプライチェーン(供給網)へサイバー攻撃を受けたことがあるか尋ねたところ、「ある」が43.3%を占め、委託先へのサイバー攻撃は16.7%、グループ会社へは30.7%、グローバル拠点へは28.3%が攻撃を受けたことがあると回答している。
サプライチェーンへのサイバー攻撃があったと回答した人に、被害内容を尋ねたところ「なりすましメールの送受信」が26.2%で、「その他業務への支障」が19.2%、「自社業務の一部または全部が停止」が16.9%と続いた。個人情報や機密情報の漏えいも10.8%あった。
現在のセキュリティ投資額が自社の防衛に対して十分だと思うかについて尋ねたところ、「不足」が41.3%で「妥当」の33.7%よりも高く、今の投資額では不足しているという認識が多くあることも明らかになった。特に不足していると思う項目については、「人材」が最多の58.9%で、「SOC」が17.7%と続いた。