Cyber Security Intelligence Vox

マイナビニュースによると『情報セキュリティに関する脅威への対策について、9割以上が概ね十分な対策ができていると回答したにも関わらず、約6割が過去1年間に情報セキュリティインシデントに遭遇していることが分かった。』と報じています。

『「重要な情報」のセキュリティ対策をどの程度実施しているか聞いたところ、「十分対策している」「おおむね十分だが改善の余地はある」（といった対策済）が91%にのぼった。』一方で『過去1年間にセキュリティインシデントの経験があるか聞いたところ、63.4%が経験があると回答。』とも報じています。

企業の認識が甘いとか、対策が十分であると（思って）対策しているだけ、といった経営者の意識が低い、という見方もあるかと思います。

「重要情報」が全て暗号化されている率が50%程度ということから、確かに認識の甘さという指摘も否めない点もあると思います。

一方で逆の見方もできます。つまり、自社としてはリスクレベルに応じた予算を投じて「十分な対策」を実施しているものの、それでもインシデントが発生してしまっている。ということです。

サイバーセキュリティに「完全」はないので、打率に換算するのも変かも知れませんが、91%の十分な対策をしても63%がヒットしてしまっている。野球の防御率ではないですが、被弾率70%程度として、インシデント対応を設計しておく、ということの方が重要なのかも知れません。もちろん、被弾率ゼロの方がいいに決まってます。

https://news.mynavi.jp/techplus/article/20250109-3103333/

経営層の「根拠なき過信」が企業をリスクに晒す、9割以上が「十分なセキュリティ対策を実施」と認識

https://www.dreamarts.co.jp/news/press-release/pr250109/

大企業の情シス500名に聞いた「情報セキュリティ」に関する調査