何かあってからでは遅いと思いつつ「何かあってからに動こう」という企業が6割 WithSecureがセキュリティ調査結果を発表：「今は問題起きてないんでしょ？」

WithSecureは、サイバーセキュリティへの対応に関する調査の結果を発表した。企業はサイバーセキュリティに対して消極的なアプローチを取っており、6割の企業が「問題が発生した後に腰を上げる」といった受動的な対応を取っていることが分かった。

[＠IT]

　WithSecureは2023年4月4日、世界8カ国（日本、フィンランド、デンマーク、フランス、ドイツ、スウェーデン、英国、米国）で実施したサイバーセキュリティへの対応に関する調査の結果を発表した。それによるとサイバーセキュリティに対して消極的な企業が多く、60％の企業が「問題が発生した後に腰を上げる」といった受動的な対応（事後対応型のアプローチ）をしていることが分かった。

9割の企業が「事後対応型のアプローチでは問題がある」と認識（提供：WithSecure）

「そのリスクを軽減することは企業のアウトカムにつながるのか」

　業種別にサイバーセキュリティ上の問題への対応を見ると、製造業で事後対応型のアプローチをしている割合は71％、規制の厳しい金融サービス業でも半数強だった。こうしたアプローチに課題を感じている企業（有事の際にさまざまな問題が生じると回答した企業）の割合は90％にも上った。

　事後対応型のアプローチと対極的なアプローチとしてWithSecureは「アウトカム（成果）ベースのセキュリティ」を提案している。これは企業の成果（アウトカム）を注目し、それを実現するためにどのようなセキュリティが必要かを考え、実施するアプローチのことだ。調査結果によるとアウトカムベースのセキュリティソリューションやサービスというコンセプトに関心を持っていると回答した企業の割合は83％に上った。

WithSecureはアウトカムベースセキュリティのメリットを3つ挙げる（提供：WithSecure）

　WithSecureのCISO（最高情報セキュリティ責任者）を務めるChristine Bejerasco氏は、「現在、セキュリティへの投資の多くは“サイバーリスクの軽減”を目的としている。しかし、軽減されるリスクが、企業が達成したいと考えているアウトカムにとって最も重要なものではないこともある。その場合、企業がビジネス上達成したいと考えるアウトカムとセキュリティへの投資に乖離（かいり）が発生したり、セキュリティに十分な投資がされなくなったりする恐れがある」と指摘している。

　調査結果によると、セキュリティに明確なアウトカムを期待している企業は多かったものの、セキュリティ上の優先順位とビジネスのアウトカムが完全に一致している企業は約20％にすぎなかった。