IDC Japanは14日、2016年1月に実施した、国内企業688社の情報セキュリティ対策の実態調査結果を発表した。
調査対象企業に対して2015年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2014年度(会計年)と比べて、「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。また、2016年度(会計年)の情報セキュリティ投資見込みでは、2015年度を上回るとした企業は全体の27.0%、「減少する」と回答した企業は10.5%だった。
しかし、全体の6割超の企業では、投資額は前年度と変わらないと回答。そして3割超の企業は、セキュリティ投資を行う項目を具体的に計画していないと回答した。2016年度の情報セキュリティ投資は、2015年度に続いて、増加傾向にあるものの、まだ多くの企業は前年度と同額の予算で明確な投資計画を持たず、既存のセキュリティ対策への投資を継続しているという。
2010年度(会計年)〜2016年度(会計年)の情報セキュリティ関連投資の前年度と比較した増減率
今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を調査した。
情報セキュリティ対策の導入率はファイアウォール/VPN、PCでのアンチウイルスが7割前後と外部からの脅威管理の導入は進んでいるが、情報漏えい対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れているという。
また、業種別では製造や小売/卸売、教育で、従業員規模別では従業員100人未満の企業でセキュリティ対策が遅れていると指摘。セキュリティ対策導入の現状は、業種や従業員規模によって、進んでいる企業と遅れている企業とに二極化しているとIDCは指摘している。
過去1年間で遭遇したセキュリティ被害は、前回(2015年1月)の調査結果と比較すると、ウイルス感染被害が減少し、サーバへの不正侵入や情報漏えい被害が増加した。
被害を受けた資産では、クライアントPCが減少したものの、それ以外の資産については被害が増加しており、被害を受ける資産が広がっているという。また、半数以上の企業がセキュリティシステムで被害を発見しているが、前回の調査結果と比較すると、顧客やパートナー、第三者からの通報による発見が増加した。
そして発見してからの収束時間は52.2%の企業が24時間以内と回答しているが、前回の調査では55.9%の企業が24時間以内に収束していたことから、収束時間は長期化した結果となった。
セキュリティ被害に遭遇する資産は拡大し、セキュリティ被害が表面化し第三者から通報によって発見されるケースが多くなっていることから、IDCはセキュリティ被害の重大化が進んでいると指摘。
しかし、半数以上の企業はCIO(最高情報責任者)やCSO(最高セキュリティ責任者)を設置しておらず、経営者へのセキュリティに関する報告は、半数近くの企業が少なくとも四半期に1回は実施しているものの、報告していない企業も2割あったという。また、CIOやCSOを設置していない企業ほど定期的に報告していない傾向がみられた。
さらに、巧妙化するサイバー攻撃によって重大化するセキュリティ被害への対策として、現在多くの損害保険会社がサイバー保険を提供している。
サイバー保険への加入率は現時点で1割程度だが、加入を予定/検討している企業は3〜4割と、今後加入率が高まるという。
また、加入済みもしくは加入を予定/検討している企業の7割以上がサイバー保険加入を個人情報漏えいへの対応として考えていることがわかった。
IDCは、企業におけるセキュリティ対策への責務は、サイバーセキュリティ基本法やマイナンバー法、個人情報保護法の改正といった法規制によって重くなっていると指摘。一方で、テロ事件や内紛など地政学的な分裂と世界経済の不安定化によって、サプライヤーへのサイバー攻撃が頻発し、サプライチェーンリスクが高まっているとも。
しかし、セキュリティ対策の現状は、業種や従業員規模によって対策の導入が進んでいる企業と遅れている企業とに二極化しており、「業界内やグループ企業内でのセキュリティ対策レベルを平準化することが必要となっている。その解決策として、業界内やグループ企業内で統一したクラウドによるセキュリティソリューションを導入することも検討すべきである」とIDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂 恒夫氏は述べている。
今回の発表は、IDCが発行したレポート「2016年国内情報セキュリティユーザー調査:企業における対策の現状」(JPJ40602216)にその詳細が報告されている。