「企業の不正リスク調査白書 Japan Fraud Survey 2020-2022」からのインサイト (2) ~情報漏洩・サイバーリスク~ ブックマークが追加されました
ナレッジ
「企業の不正リスク調査白書 Japan Fraud Survey 2020-2022」からのインサイト (2) ~情報漏洩・サイバーリスク~
クライシスマネジメントメールマガジン 第40号
丸ごとわかるフォレンジックの勘所 第35回
デロイト トーマツ グループは「企業の不正リスク調査白書 Japan Fraud Survey 2020-2022」(以下「Fraud Survey 2020」)を発行しました。本調査は、不正の実態や不正への取り組みに関して上場企業を中心とする427社から回答を得たもので、不正に対するガバナンスの実像や新型コロナウイルスによって企業経営が現在進行形でどのように変化しているかを視覚化しています。本稿では、この調査をより多角的にお伝えするため、前回に引き続き、紙面の都合上掲載することのできなかった詳細分析や、他の公開情報を踏まえた要因分析をご紹介します。
I. サイバーリスク
2020年4月に第1回目の緊急事態宣言が行われてから、多くの企業が十分な準備期間を得ることなく、在宅勤務等のwithコロナ時代の新しい働き方の導入を余儀なくされた。Fraud Survey 2020の調査結果では、在宅勤務の導入に際して、68%の企業がネットワークやサーバの強化、会議システム等の追加など、インフラへの投資を行っている。また、64%の企業が、勤怠、成果、健康状態といった労働状態の把握が追加で必要になったと回答している。一方、セキュリティレベルやモニタリングの強化といった情報管理の徹底については、全体で50%が実施するにとどまっている。新型コロナウイルス感染症がもたらしたリスクの観点からは、インフラへの投資(68%)と情報管理の徹底(50%)の差分(18%)が、サイバーリスクの増加を示しているとして、Fraud Survey 2020ではリスクの増加についての警告を発した。
経済産業省もサイバーリスクの重要性を指摘している。同省は「テレワークの利用の急拡大など、サイバー空間を巡る環境が大きく変化している」なかで、「サイバー攻撃の起点の拡大や烈度の増大は続いており、我が国企業が、規模の大小を問わずサイバー攻撃の被害に遭っている事例が数多く確認されている」として「サイバーセキュリティの取組の一層の強化」を呼び掛けている。(経済産業省商務情報政策局2020年12月18日「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」)
本調査の「インフラへの投資」と「情報管理の徹底」の差分をサイバーリスクの代理変数と仮定して分析すると、業種によってこのリスクには大きなばらつきがある。図表1は、在宅勤務の導入に際して追加的に必要となった対応に対する回答を業種別に整理したものである。
「インフラへの投資」と「情報管理の徹底」の回答率の差分は、情報・通信業界で最も大きい。この理由としては、インフラへの投資が83%と平均を大きく上回っていることが挙げられる。これは業界として大量のデジタルデータを取り扱うというビジネスの特性から、在宅勤務の導入に際して、ネットワークやサーバの強化等を行った影響が大きく出たのであろう。
一方で、金融業においては、「インフラへの投資」と「情報管理の徹底」の差分がマイナスになっており、在宅勤務の導入によって、セキュリティ強化など情報管理が徹底され、セキュリティリスクが低減しているように見える。これは、情報管理の徹底が60%と平均よりも10%高くなっているのが主な理由である。近年、個人情報の管理に関する危機意識が強まるなかで、預金口座、証券口座、保険契約などを扱う金融業においては、情報管理の重要性が早い段階から認識されていたのではないだろうか。
テレワークやデジタルデータとは無縁に思える建設業・不動産業において、「インフラへの投資」と「情報管理の徹底」の両方が全体の平均を大きく上回っている点が興味深い。総務省の通信利用動向調査によると、建設業・不動産業は、情報通信業、金融・保険業に次いで、クラウドサービスの利用が多い業種とされている。(総務省「令和元年通信利用動向調査報告書(企業編)」参照)建設業・不動産業ともに、物件や審査等を含む個人情報を多くの関係者で共有する必要性があることから、ネットワークの活用とそれに伴う情報管理の必要性についての認識が醸成されていたのではないかと思われる。
このように図表1からは、各業種の特性が、結果としてサイバーリスクのあり方に大きな影響を与えていることが読み取れる。多くの企業が、おそらく同業他社の事例を参考として、情報漏洩への対策を講じていると思われるが、自社の属する業界自体を相対化して今一度検討する必要性を指摘したい。
II. 海外子会社における情報セキュリティの重要性
業種間での比較のみならず、国内・国外の区分においても、情報セキュリティの十分性を見直す必要性を忘れてはならない。図表2は、前回(『企業の不正リスク調査白書 Japan Fraud Survey 2020-2022」からのインサイト (1)』)紹介した、最も損害金額が大きかった不正事例について、整理したグラフである。
前回は、本社および海外関係会社における会計不正の増加と、国内関係会社と海外関係会社における横領の増加について分析した。情報セキュリティに関連する点としては、海外における情報漏洩が最も損害額が大きかったと回答した企業が増加し、割合としては国内関係会社を上回っていることを指摘したい。
情報漏洩が発生した際の損害は、漏洩した情報の量のみならず、質によっても変化する。例えば個人情報の漏洩事案においては、漏洩が発生した地域の法律が、その重要性を決定づける要因ともなる。2018年5月にEUで施行された「一般データ保護規則」(GDPR)は、その制裁の大きさから、重要性について認識している企業も多いのではないだろうか。世界で最も厳しい個人情報保護ルールとされるGDPRは、違反企業に対して数十億円規模の罰金を科すことがあり、欧州に拠点を持つ日本企業にとっては決して無視できないものである。
また、ネットワークの接続経路によっては、情報漏洩の原因となった海外拠点に対する不正アクセスが本社で保有する重要情報へのアクセスを意味する場合もある。数年前までは、ウイルス感染といった場合、フィッシングメールやWebサイトを介して不特定多数のユーザーに対しマルウェアを感染させる“ばらまき型”の攻撃によるものが主流であった。近年では特定の組織や人を狙って行われる標的型攻撃が大きな脅威となっている。標的型攻撃では、特定の企業を標的と定めた攻撃者が、セキュリティの穴を探したうえで侵入を試みる。仮に国内本社において万全のセキュリティ体制を敷いていたとしても、本社とネットワークがつながる海外子会社においてセキュリティにほころびがあった場合、本社まで攻撃者の侵入を許す可能性があり、実際にそのようなケースが発生している。
このように、海外関係会社における情報漏洩は、決して組織の末端で起きた些細なインシデントとして片づけることができないものである。本調査で明らかになった海外関係会社における情報漏洩の損害額の増加は、見落としがちだが重大な損害をもたらすリスクが、まさしく足元で肥大していることを示している。
III. おわりに
本稿では、最も損害金額が大きかった不正事例についての回答を起点として、Fraud Survey 2020では紹介することのできなかった詳細分析を、他の公開情報を補足して紹介した。昨今、紙上を賑わしている情報漏洩・サイバーリスクは業種間で対応に差異が存在しており、海外関係会社での情報漏洩による損害額の増加からは、現状は序章に過ぎない可能性を示唆している。本稿が、これらへの備えに有益なものであることを願いたい。
以上
※本文中の意見や見解に関わる部分は私見であることをお断りする。
