投資実態、組織体制、被害経験など「2016年 国内企業の情報セキュリティ対策実態調査」発表
企業規模を問わず情報セキュリティ責任者の設置を、IDCが提言
2016年04月18日 07時00分更新
IDC Japanは4月14日、今年1月に実施した「2016年 国内企業の情報セキュリティ対策実態調査」の結果を公表した。CIO/CSOなど全社横断的な責任者を設け、経営者にセキュリティ状況の定期報告や助言を行える体制を作るべきだと提言している。
この調査は今年1月、国内企業(官公庁/自治体含む)を対象に実施したもので、有効回答件数(社数)は688件。幅広い産業分野、従業員規模の企業/組織が回答している。14日の発表会では、同社 リサーチマネージャー ソフトウェア&セキュリティグループの登坂恒夫氏が詳しい解説を行った。
以下では、国内企業におけるセキュリティ投資戦略、CIO/CSOなどセキュリティに関する組織体制、サイバー攻撃による被害状況について抜粋する。
明確な投資計画が描けず、セキュリティ投資「変化なし」が6割
まず、2015年度(会計年度)の情報セキュリティ関連投資額について聞いた設問では、「増加する」と回答した企業が27.2%で、「減少する」とした企業の10.5%を上回った。ただし「昨年度から変化なし」と回答した企業が62.5%と、最も多い。
全体としては引き続き増加傾向にあるものの、過半数の企業が前年度と同じ投資額を計画していることについてIDCでは、セキュリティ対策に対して明確な投資計画を持たず、既存のセキュリティ対策への投資を継続しているためと見ている。
また、セキュリティ投資を増やす企業(173社)が具体的に投資を計画している分野については、「ウイルス対策」「脆弱性管理」が共に19.7%と最多だった(複数回答)。登坂氏は、昨年度調査ではモバイル系のセキュリティが上位だったが、国内でも標的型攻撃の被害が明らかになり、その危機感から企業がこうした対策を強化しようとしているのではないかと分析する。
さまざまなセキュリティ脅威の「脅威度合い」を聞いた調査では、マルウェアやスパムなど外部の脅威を重視する傾向が強く、それと比べて社員や内部関係者、パートナーなど内部脅威に対する懸念は低い。同様に、すでに導入しているセキュリティ対策の導入率を見ると、いわゆる“入口対策(外部脅威対策)”が上位を占め、情報漏洩防止やセキュリティ情報/イベント管理(SIEM)など“出口対策(内部脅威対策)”の導入は遅れている。
しかし、近年の大量情報漏洩事件では内部犯行が行われたり、マルウェア感染した内部端末(ボットPC)が悪用されたりするケースが多く、導入の遅れは気になるところだ。登坂氏は、内部脅威対策の導入が遅れている理由のひとつとして、外部脅威対策と比べて内部脅威対策の投資対効果は見えにくく、限られたセキュリティ対策予算の中では優先度を上げるのが難しいためではないかと語った。
なお、「マイナンバーの漏洩」を脅威と感じている企業はおよそ6割弱。ただし、企業のビジネスに直接関わる部分ではなく、全般には優先度も低いと捉えられているため、「社内監査や社員教育、既存の管理策の強化など、まずはコストのかからない対策、ソフト面での対策を考える企業が多い」(登坂氏)という。
また、ネットワークセキュリティや保管データの暗号化といった情報漏洩対策の強化について、これまで十分な対策が出来ていなかった中小企業層では一定の投資が見られたが、大企業層ではあらためて行う必要も少なく、マイナンバーがセキュリティ投資に向かう大きなきっかけにはなっていないもようだ。
経営者へのセキュリティ状況報告を「まったくしていない」が約2割
同調査では、「CIOまたはCSOを設置している」企業は全体の4割弱(44.3%)。また、社内の情報セキュリティに関する経営者への報告を、少なくとも「四半期に1回以上実施している」企業は半数近く(47.3%)だった。一方で「報告をまったくしていない」という企業も19.3%に上る。全般には、企業規模が小さくなるほどCIO/CSOの設置割合が低く、定期報告を実施している割合も下がる。
登坂氏は、昨年末に公開された経済産業省の「サイバーセキュリティ経営ガイドライン」にも見られるとおり、今やサイバーセキュリティは“経営課題”になっており、まずは経営者が社内のセキュリティリスクを十分に把握するための体制作りが重要だと提言している。それにより、適切なセキュリティ投資計画も可能になってくる。
「企業規模を問わず、CIOやCSOを設置して経営者への定期報告を行うようにすべき。中小企業の場合、CIO/CSOの役割や位置づけは(大企業のそれとは)変わることもあるだろうが、社内に複数の部門があるような企業規模になれば『全社横断的にセキュリティリスクを把握している責任者、中心人物』を定めることが重要」(登坂氏)