NRIセキュアテクノロジーズは2月8日、企業における情報セキュリティの実態を調査し、集計・分析した結果をまとめた「NRI Secure Insight 2021」を発表した。調査は、2021年10~11月にかけ、日本、米国、オーストラリアの3カ国の企業2653社(うち日本は1616社)を対象に実施。2002年度から毎年実施され、今回が19回目。
NRIセキュアテクノロジーズ GRCプラットフォーム部 セキュリティコンサルタントの名部井康博氏
同社 GRCプラットフォーム部 セキュリティコンサルタントの名部井康博氏は、調査の狙いとして「これら3カ国の企業における情報セキュリティに対する取り組みを明らかにすること」「企業の情報システムもしくは情報セキュリティ業務に携わる人に有益な参考情報を提供すること」の2点を挙げた。また、「日米豪を横並びで比較して優劣をつける意図ではない」といい、「日本のセキュリティの課題はどこにあるのか、米豪から学べることがあるとすればそれは何かを明らかにする」と語った。
調査では、「ゼロトラストセキュリティ」「セキュリティマネジメント」「セキュリティ人材」「セキュリティ対策」「脅威・事故」の5つが大きなテーマとなった。
ゼロトラストセキュリティでは、ゼロトラストセキュリティを実現するソリューションの導入に関して、日本ではリモートワーク対応のためにエンドポイントの脅威検知とレスポンス(Endpoint Detection and Response:EDR)の導入が進んだように見える一方、クラウド・アクセス・セキュリティ・ブローカー(Cloud Access Security Broker:CASB)、ユーザーとエンティティーの行動分析(User and Entity Behavior Analytics:UEBA)、セキュリティのオーケストレーション/自動化/レスポンス(Security Orchestration, Automation, and Response:SOAR)といったソリューションの導入は米豪に比べて低い割合にとどまっているという。
ゼロトラストセキュリティを実現するソリューションの導入/検討状況。米豪では4種のソリューションがおおむね同率となっているが、日本ではまずEDRが先行し、CASBが続くがUEBAとSOARについてはまだこれから、という状況のようだ
この理由として、名部井氏は「予算額の差」と「セキュリティ体制の差」を挙げている。また、セキュリティマネジメントでは、米豪と比較して日本企業での最高情報セキュリティ責任者(CISO)の設置率が顕著に低いことも指摘された。日本ではセキュリティ対策の予算が増加した企業の割合も米豪の半分程度にとどまっているのだが、同氏は「CISOが設置されていない企業ではセキュリティ関連の予算獲得が難しくなっている」と指摘し、経営陣に情報セキュリティに責任を負う人材が参加していないことが問題だとの認識を示した。
日本のCISO設置率は米豪に比べて低い
セキュリティ人材に関しては、日本企業は米豪に比べて人材不足を訴える企業が圧倒的に多いという結果になっている。また、米豪でセキュリティ人材が充足している理由としては「セキュリティ業務がシステムなどにより自動化・省力化されているため」がトップになっていることから、米豪ではセキュリティ関連業務に関して「人的リソースに頼らなくても済む体制が整備できている」と指摘。日本企業でも「責任範囲を明確化して標準化・自動化を進め、人手でやるべきところに人的リソースを投入する」という、少ない人材を効率的に活用して生産性を高める取り組みが重要だとした。
セキュリティ人材が「充足している」と感じている企業の割合は、米豪が80%超なのに対して日本はわずか6.7%にとどまっている
さらに、「セキュリティ対策実施のきっかけ」では米豪が「経営層のトップダウン指示」が最上位なのに対して日本では「他社でのセキュリティインシデント事例」が最多となっており、名部井氏は「米豪ではCISOが主導する形でプロアクティブ(先見的)な対策を推進している一方、日本では何か起きてからリアクティブ(反応的)に対応している」と指摘した。
こうした調査結果を踏まえ、同氏は「拡がり続けるビジネス環境にセキュリティを適応するために、企業には3つのeXtend(拡張)が必要」だと総括した。3つのeXtendとは、「最高責任者(CxO)の拡張」「戦略の視野を拡張」「拡張の阻害要因を解消」の3点となる。中でもとりわけ、経営陣が責任を持って情報セキュリティに取り組むため、CISOを設置することがまずは出発点となると思われる。
調査結果を踏まえた同社の日本企業に向けた提言
