PwC Japanグループは2024年4月、「サイバーセキュリティおよびプライバシー情報開示」に関する日米投資家の意識調査2024の説明会を開催しました。
非常に興味深い視点で、「ウチは狙われないから大丈夫」という認識の企業だけでなく、まだセキュリティ対策の意識が低い経営者に直接刺さるような提言が盛り込まれた、これまでとは少し異なるセキュリティ関連調査でした。個人的にも考えさせられる部分もあったので、今回はこちらを取り上げたいと思います。
●「それ、投資家の前でも同じこと言えますか?」 セキュリティは投資判断の材料に
サイバー攻撃の標的となっている企業に向けて各国政府機関が業界別の情報開示規制やガイドラインを強化しつつある今、この規制をしっかりと順守できているかどうかなど、企業の情報開示規制への取り組みに対して「投資家」たちはどう捉えているかを把握することがこの調査の狙いです。
米国証券取引委員会(SEC)が2023年12月に施行したサイバーセキュリティ開示規則は上場企業に対して8-K報告書(重要性があると判断されてから4日以内に提出が求められるサイバーセキュリティインシデント報告書)を提出するよう求めており、この対応に多くの企業が頭を悩ませています。今回の調査はこれに関連した非常にタイムリーなものだといえるでしょう。調査は米国と日本の状況の比較や企業動向がはっきりと分かる内容になっているのでぜひチェックをお願いします。
調査からも分かる通り、円安が続く現状は、企業視点で考えると海外からの投資を期待できるという側面があります。ただしこれは裏を返せば、海外から自社がどう見えるかを意識する必要もあるということです。
先のサイバーセキュリティ開示規則などの影響から、海外からの投資を受けるためには、適切な情報開示やセキュリティ対策がしっかりと講じられていることをアピールする必要があります。これまでであれば「セキュリティ人材がいない」という理由から後回しにできていた問題に企業はいよいよ直面しているわけです。
調査によると、実際に「米国投資家の8割はサイバーセキュリティ情報開示を重要視」することや、「米国投資家の7割は投資規模が大きい場合は企業のサイバーセキュリティを1社ずつ詳細に評価」することが明らかになっています。
もはやサイバーセキュリティ対策は「投資家対策」ともいえ、インシデントが発生したときだけでなく、平時の意識やコミュニケーション、そして行動がチェックされる状況なのです。
最近はセキュリティを“経営マター”だと認識している経営者も増えていますが、もしまだ対策が進んでいなかったり、経営者のコミットが消極的だったりする場合はこの調査結果が後押しになるでしょう。
●企業に就職するよりもうかるかも? 引く手あまたのセキュリティ人材
日米投資家の12の傾向の中でも、筆者が個人的に気になったのは10番目の「米国投資化チームの9割にセキュリティ有識者が存在」という項目です。これは考えてみれば当たり前ですが、非常に重要な視点が含まれていると思います。
調査では、投資家のセキュリティに対する注目度に加えて、投資先が開示したセキュリティレポートを、機関投資家や証券アナリスト、一般投資家がどう読むかという点についても掘り下げています。
情報開示が進んでいる米国では、開示された最新テクノロジーや専門知識を含む内容を理解できない恐れがあるため、投資家にも専門知識が必要になっています。米国では投資家チームの9割にセキュリティ有識者が存在し、日本の投資家チームでも4割が採用強化に動いている、と調査から判明しています。
筆者は、ただでさえ少ないセキュリティ有識者が投資家チームにも狙われているという事実に少々恐ろしさを感じました。これは推測ですが、投資化チームの方がより良い給与を払いそうな気もします。まさかこんなところに、採用の難しさを跳ね上げる存在があるとは思いませんでした。逆に、セキュリティ有識者の方々にとっては、こんな意外なところにも“可能性”があるわけです。
●セキュリティ人材は思った以上に必要とされている
意外なところに存在するセキュリティ人材需要から筆者は、かつてアイティメディアで編集記者をしていたころに一緒に仕事をしていた、「セキュリティ&プログラミングキャンプ」(現:セキュリティ・キャンプ)の講師である上野 宣氏の言葉を思い出しました。
興味を持たない人々にこそ届けたいのが情報セキュリティです。そういった人々にどのようにリーチすればいいのか。そのためには、送り出されたキャンプ卒業生たちには、ど真ん中のセキュリティ業界だけではなく、さまざまな業界に散らばっていってほしいと思います。
(キャンプに集まれ! そして散開!《Security&Trust ウォッチ》より)
今回の話は、セキュリティ人材が思った以上に必要とされているということに他なりません。今でこそセキュリティ人材は貴重ですが、社会では「プラス・セキュリティ知識」が求められ、誰もがこの考え方に寄り添う時代になると、筆者はある程度楽観的に考えています。もちろんそこにはテクノロジーの力も加わり、今ほど知識獲得の難しさがない未来になっているはずです。
経営者や投資家、セキュリティに携わる人は、一度今回の調査結果をチェックしてみてください。新たな発見があるかもしれません。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。