サイバー防御力が低いとビジネスも低迷傾向に？ セキュリティ投資と業績の相関関係を調査

目次

1．十分なサイバー防御力を備えているのは16業種中3業種のみ

自社開発のクラウドセキュリティサービスを提供する国産ベンダーのサイバーセキュリティクラウドは2022年12月、企業の業績とサイバーセキュリティ対策の相関関係を分析したレポートを発表しました。16業種で働く全国300人のビジネスパーソン（経営者を含む）からの回答をベースに調査結果をまとめました。

同社はまず、企業のセキュリティ対策の大まかなレベルを測る基準として「サイバー防御力」という指標を策定。14個のチェック項目について、それぞれ自社で十分な対応ができているかを調査対象者に回答してもらったとのこと。全14項目をクリアできている企業は「サイバー防御力が一定水準以上だと評価できる」としています。なお、チェック項目は「組織としての対応」が9項目、「従業員としての実務対応」が5項目で、各項目の具体的な内容は以下のとおりです。

■組織としての対応
1．仕事で使用するパソコンやスマートフォンなどにはウイルス対策ソフトが導入されており、ウイルス定義ファイルは最新の状態になっていますか
2．勤めている企業では重要情報に対する適切なアクセス制限が行なわれていますか
3．勤めている企業では、新たな情報セキュリティ上の脅威やサイバー攻撃の手口を知り、対策を社内共有する仕組みはできていますか
4．勤めている企業は、従業員が無線LANを安全に使うために、適切な暗号化方式を設定するなどの対策をしていますか
5．勤めている企業は、インターネットを介したウイルス感染や、SNSへの書き込みなどのトラブルへの対策をしていますか
6．あなたが会社で個人所有の情報機器を業務で利用する場合に、勤めている企業は必要なセキュリティ対策をしていますか
7．勤めている企業は従業員に対して、セキュリティに関する教育や注意喚起を行なっていますか
8．勤めている企業は、重要情報の授受を伴う取引先との契約書において、秘密保持条項を規定していますか
9．勤めている企業では、セキュリティ事故が発生した場合の対応手順を、あなたを含め全社員が理解できていますか

■従業員としての実務対応
10．会社や個人所有のパソコンやスマートフォンなど、情報機器のOSやソフトウェアは常に最新の状態にしていますか
11．会社や個人所有のデバイスで使用するパスワードは、破られにくい「長く」「複雑な」パスワードを設定していますか
12．あなたは、電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染を防ぐ方法を理解できていますか
13．勤めている企業では、電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか
14．あなたは、仕事で重要情報を記載する際に電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか

サイバー防御力の調査結果は、業種ごとのランキング形式でまとめています（詳細は図を参照）。満点の14ポイントで十分なサイバー防御力を有していると評価できたのは通信業・放送業・広告業・映像/音声/文字情報制作業、情報サービス業・インターネット附随サービス業、金融業・保険業の3業種のみだったとのこと。サイバーセキュリティクラウドではこの結果を受けて次のように指摘しています。

「サイバー防御力が一定水準未満と捉えられる13ポイント以下の業種は、約8割の13業種にも上りました。特に最下位である宿泊業・飲食サービス業では、消費者の情報を取り扱う機会が多く、サイバー攻撃を受けると宿泊者情報等が漏洩するなどの事態に発展する懸念もあるため、企業と従業員のセキュリティ意識改革、従業員の研修などが早急に求められます。また、特にEC事業を含む卸売業・小売業でも獲得ポイントはわずか6ポイントとなりました。ECサイトを狙ったサイバー攻撃が、前年比3割で増加し、330億円の被害額までに拡大している今、サイバー防御力向上のため、EC業界全体での対策を推奨します」


サイバー防御力ランキング

2．業績が下がっていない企業はサイバー防御力が高い？

今回の調査では、「勤めている企業の業績がここ1年で下がっているか」についても聞いています。「当てはまる」「当てはまらない」の二択での回答ですが、サイバー防御力との相関関係が認められる結果になりました。

サイバー防御力が十分だった3業種は「当てはまらない」と答えた人が比較的多く、情報サービス業・インターネット附随サービス業が78.9％、通信業・放送業・広告業・映像/音声/文字情報制作業、金融業・保険業ともに73.7％でした。




そのほかの業種では、製造業、学校教育/学習支援業、公務、サービス業、卸売業・小売業も「当てはまらない」の割合が高い傾向にあります。卸売業・小売業以外はサイバー防御力が13ポイントで、十分なセキュリティ水準ではないものの、ランキングでは1位の3業種の次点に位置しています。

一方で、「当てはまる」という回答が多かった業種は生活関連サービス業・旅行業・娯楽業（73.7％）、宿泊業・飲食サービス業（63.2％）、運輸業・郵便業（52.6％）で、いずれもサイバー防御力のランキングで下位に位置しています。これらのデータを見る限り、サイバー防御力が高いほど、直近の業績低下を免れている傾向があると言えそうです。

3．業績が下がっている業種はセキュリティ投資も後回し

さらに、所属企業におけるセキュリティ対策への投資額についても調査しています。「年間でセキュリティ予算に100万円以上かけている」と回答した人が多かったのは、やはりサイバー防御力ランキングで上位の業種でした。満点の14ポイントを獲得している情報サービス業・インターネット附随サービス業が31.6％、金融業・保険業が26.3％、13ポイントを獲得した学校教育/学習支援業が27.8％という結果になりました。




サイバーセキュリティクラウドはこの結果について、次のように分析しています。「業績が下がっている業種ではセキュリティ対策への投資が後回しになっており、十分なセキュリティ対策が疎かになっていると考えられます。サイバー攻撃の被害が甚大となり、顧客からの信頼を失ったことで大幅な業績の低下を招いたという事例も数多く見受けられます」

4．まとめ

投資体力がある企業が多い業種だからこそセキュリティ対策も十分にできているのか、それとも業界全体のセキュリティ意識が高い業種だからこそ業績の維持・向上につながる戦略的な投資ができているのかなど、サイバーセキュリティのレベルと業績の相関について今回の調査結果だけでは明確に特定できない要素もあります。

それでも、業種カットで見た場合にサイバー防御力と業績には一定の相関関係があり、市場や顧客の信頼を確固たるものにするためにも、セキュリティ対策への投資を経営の重要課題として捉える必要があるのは間違いないと言えるでしょう。継続的かつさらに深掘りした調査を期待したいところです。