2022年度最新のアジアリスクサーベイに基づく、アジア進出日系企業におけるサイバーリスクマネジメント状況

はじめに

2022年は、世界的に見て目まぐるしい変化のあるリスク環境であったといえます。収束に向かいつつあるものの、昨年から引き続きCOVID-19パンデミックによる経済的な影響や社会的な混乱が依然として残る一方、国際紛争や国家間の緊張関係等、地政学的リスクも急速に高まっています。さらに、気候変動による自然災害や、サイバーセキュリティ上の脅威も増加しています。もちろん、このような世界情勢に関してアジア地域も決して無関係ではいられません。

デロイト トーマツ グループでは、アジアに進出している日系企業の皆さまに対し毎年リスクサーベイを実施しており、2022年度においても「アジア進出日系企業におけるリスクマネジメントおよび不正の実態調査2022年版（以下、「アジアリスクサーベイ」）」として最新の分析結果をまとめております。前回のニュースレター（2023年2月16日 掲載）では、アジアリスクサーベイの結果に基づき、アジア進出日系企業におけるリスクマネジメント状況の分析、並びに分析結果を踏まえ対応が必要だと考えられる施策をご紹介いたしました。本ニュースレターにおいては、アジアリスクサーベイに基づきながら、特にサイバーリスクに観点を絞ったうえで、業種別等の複数の切り口を踏まえた分析結果及び当該結果から導き出せる対応案をご紹介させていただきます。ぜひ一度本ニュースレターをご一読いただき、アジア地域において事業を展開する皆様にとっての、将来に備えたサイバーリスクマネジメントの参考としていただければ幸いです。

アジア地域におけるサイバーリスクマネジメント状況

優先して着手が必要なリスクにおける「サイバー攻撃による情報漏えいリスク」の位置づけ

COVID-19の収束傾向に伴い「疫病の蔓延（パンデミック）等の発生」リスクは大きく順位が低下したのに対し、東南・南アジア、中国・ロシアともに「テロ、政治情勢」リスクが昨年度から大きく順位を上げている等、アジア進出日系企業におけるリスク認識に大きな変化が見られる中で、「サイバー攻撃・ウイルス感染等による情報漏えい」リスクは昨年度から引き続き9位（11.5%）に位置付けています。
 

人材流出・人材不足に関するリスクが激増して首位となる一方、原材料ならびに原油価格の高騰が2位、市場における価格競争が3位と、昨年に続き上位に位置している

ただし、業種別（製造、卸・商社、金融の3セクター別）の観点から順位を確認すると、製造/卸・商社セクターでは同リスクが10位より下に位置付けられているのに対して、金融セクターでは同リスクは上位に位置しています（2位：31.3%）。このことから、リスク環境に大きな変動があった中でも、製造/卸・商社セクターと異なり金融セクターの日系企業ではサイバーリスクを他リスクよりも引き続き重要視していると考えられます。

人材流失、人材獲得の困難による人材不足が全体における共通課題であるが、金融セクターでは情報漏えいが上位課題として認識されている

今後一年程度を見越して必要なリスク対策における「サイバーセキュリティ強化」の位置づけ

アジア拠点における今後一年程度を見越して必要なリスク対策の認識に関して、サイバー対策以外の順位は昨年度からあまり変化が見られないのに対して、「サイバーセキュリティ強化」は昨年度からやや順位を下げています（2021年度：4位（19.7%） → 2022年度：9位（13.5%））。

コスト削減及び企業戦略の見直しが引き続きの優先課題として認識されるとともに、内部統制強化や危機管理体制強化といったリスク対策も重要視されている

この点について業種別の順位を確認すると、「サイバーセキュリティ強化」は卸・商社セクターでは9位、製造セクターでは10位より下であるのに対して、金融セクターでは5位（22.9%）と比較的高い順位に位置付けられています。このことから、製造/卸・商社セクターと比較し金融セクターの日系企業では短・中期的観点からサイバーセキュリティ強化の優先順位を高く設定していると考えられます。
 

全体では内部統制強化が重要なリスク対策として認識されており、加えて、製造業セクターはコスト削減、卸・商社、金融セクターでは企業戦略の見直しが重視されている

現在不足し改善に取り組んでいる機能における「セキュリティ推進機能」の位置づけ

上述したリスク対策を実際に実行するにあたり、現在不足しているまたは改善に取り組んでいる機能について集計したところ、こちらも全体的に大きな順位の変動が見られない中で、「セキュリティ推進機能」は前年度からわずかに順位を上げ5位に位置しています（2021年度：7位（20.6%） → 2022年度：5位（23.5%））。

昨年からTOP3の構成機能は変化せず、引き続きデジタル推進、地域戦略立案、新規事業開発の機能強化が推進されている

また業種別の順位では、「セキュリティ推進機能」の位置づけに関して業種間の格差は見られませんでした（製造：4位（24.3%）、卸・商社：5位（21.7%）、金融：5位（27.1%））。このことから、アジア進出日系企業は各社とも他機能と比較しセキュリティ機能の改善に積極的に取り組んでいると考えられます。
 

全体ではデジタル推進、地域戦略立案が上位、製造、金融セクターではコンプライアンス推進、卸・商社セクターでは新規事業開発の改善に取り組んでいる

総括

以上の集計結果に基づき、下記の分析が導出されます。

① 製造/卸・商社セクターの日系企業では、短・中期的観点におけるサイバー攻撃が引き起こす情報漏えいリスクについて、他リスクと比較して対応の優先度を低く設定する傾向にある。ただし、当該リスクへの対応機能の改善には積極的に取り組んでいると考えられる。

② 金融セクターの日系企業では、短期/中期的観点におけるサイバー攻撃が引き起こす情報漏えいリスクへの対応の優先度は他リスクより比較的高いと認識する傾向にあり、かつ当該リスクへの対応機能改善にも積極的に取り組んでいると考えられる。
 

①において、製造/卸・商社セクターにおけるサイバーリスクへの対応が他リスク比劣後しているとみられます。このことについて、IT/OT/IoTセキュリティにおける本社とアジア現地支社・工場の関係を踏まえて考察すると、以下の要因が導出されます。

• ITセキュリティ：現地支社のIT環境の構築・運営等本社主導の傾向があり、その結果、本社側の意向で現地でのビジネスに直接的にインパクトがあるリスクへの対応を優先していることが要因として考えられます。
• OT/IoTセキュリティ：ガイドライン等は本社側で整備するものの、実際の導入・運用は現地主導で行われる傾向があります。その結果、現地側の意向でセキュリティソリューションの導入等工場の稼働への悪影響への考慮や、現地OTセキュリティ担当者及び知見のあるスペシャリストが不足していることが、サイバーリスク対応が他リスクへの対応と比べて劣後している要因として考えられます。

一方でサイバーリスクへの対応機能の改善には取り組んでいることから、当該改善活動が各社の予定通り進捗・または効果を発揮していることが想定されます。しかしながら、特に東南アジア地域の情報漏えい平均被害額は約287万米ドル^※1と、決して無視できないレベルのビジネスインパクトを引き起こし得ることから、引き続きサイバー攻撃による情報漏えいリスクへの対応を継続することが重要と考えられます。加えて、下記資料の通りサイバー攻撃によって東南アジア地域の日系企業が被害を受けた直近事例では、ランサムウェアによる被害も複数確認されていることから、ランサムウェアによるデータ破壊及びそれに伴う業務停止リスクへの対応も検討することが推奨されます。
 

公開情報でも、東南アジア各国では国・業界を問わず、日系企業は多くのサイバー攻撃を受けている

②において、金融セクターの日系企業におけるサイバーリスクへの対応が他リスクと比較し優先される傾向にあるのは、顧客の金融資産を管理しているためサイバー攻撃による情報漏えいから預金の不正引き出し等により顧客の財産に直接的な損害につながる可能性があることや、現地金融当局による規制対応が必要であることが要因として考えられます。また情報漏えいだけでなく、金融システムの安定性維持の観点からランサムウェアによる業務停止リスクへの対応も重要になります。このことと関連して挙げられるのが、ランサムウェアを含む何らかの脅威により業務の継続が脅かされる事態が生じた場合にも、重要な業務を最低限維持すべき水準において提供し続ける能力（オペレーショナル・レジリエンス）です。これに関しては、タイ中央銀行(Bank of Thailand)からサイバーレジリエンス評価フレームワークが出されていること^※2、さらにシンガポールの中央銀行であるMAS(Monetary Authority of Singapore)から「オペレーショナル・レジリエンスの強化のための原則と実践の紹介」が目的の一つであるガイドライン^※3やITレジリエンスに係る推奨項目が含まれるガイドラインが出されていること^※4を踏まえると、将来的には他アジア地域諸国においてもオペレーショナル・レジリエンスに関する規制等が制定される可能性もあります。

今後の対応

上記リスクへの対応策についてですが、例えばランサムウェアリスクひとつを例に挙げてみても、ランサムウェアを検知できるソリューションの導入や、データを破壊されたケースを想定したバックアップ方針の策定等、対応策としても求められるものは多岐に渡ります。そのため各リスクへの個別対応を進めるよりも、各種ソリューション導入や社内対応体制の確立といった技術的/組織的対応を整理し包括的かつ全社的な対応方針を検討することが、より効率的かつ有効な対応アプローチとして考えられます。その際、NIST CSF^※5やFFIEC CAT^※6等のフレームワークを用いた、拠点全体のサイバーセキュリティ態勢成熟度評価を行い、対応が不十分な箇所の特定・対応の優先順位付け・対応ロードマップ策定を進めていくことが望ましいと考えられます。

アジア地域は、急速な経済発展とともに、インターネット利用率が高まっています。これに伴い、サイバー攻撃の発生率も増加し、サイバーリスクはますます深刻化が想定されます。

このような状況から、アジアに進出する企業はサイバーリスクに対処することが必要不可欠です。各企業は、サイバーリスクに対する十分な認識と対策の充実を図り、上述した対策を含め、ビジネス環境に適したセキュリティ対策を実施し、セキュリティ機能の改善を継続していくことが重要です。

デロイト トーマツはグローバルにて多種多様なサイバーセキュリティに係るご支援を行っており、その知見を活かして少しでも皆様のお役に立てられればと考えています。本稿が皆様にとってアジア地域の拠点におけるサイバーリスク対応のきっかけの一つになれば幸いです。

詳細については当グループのプロフェッショナルまで問い合わせください。