野村総合研究所(NRI)は、メディアフォーラムとして「企業における情報セキュリティ実態調査2013」を発表した。グループ会社であるNRIセキュアテクノロジーズが2002年から調査している情報セキュリティに関する調査をまとめたもの。
今回の調査では、1.情報セキュリティに関する投資が増加傾向に、2.人材は社外よりも社内人材のスキル向上で対応しようとする企業が増加、3.国内に比べ海外グループ会社のセキュリティ統制が海外まで行き届いていないことを懸念する企業の割合が高い、4.モバイル・クラウドの業務利用が企業に浸透、5.標的型攻撃の増加に伴い、社内CSIRT構築を視野に入れる企業が増加という5点のトピックを挙げた。
Windows XPサポート終了が大々的に告知されているものの、「サポート終了後も利用を予定」との回答が全体の3分の1であること、最新技術であるSDNを使ったBCP(ビジネス継続計画)対策については「すでに導入している」という企業が1.9%存在している点に触れた。
セキュリティ複合力が必要
この結果を受け、NRIセキュアテクノロジーズ ストラテジーコンサルティング部の足立道拡部長は「これまでのような単一対策ではなく、セキュリティ複合力が必要な時代といえる」と提言している。
NRIセキュアテクノロジーズ ストラテジーコンサルティング部の部長を務める足立道拡氏
この調査は、2002年から実施しているもので、今回が12回目となる。今回の調査では2013年8月29日から10月4日まで、3000社にアンケート用紙を郵送し、そのうち22.8%となる685社から回答を得た。
今回の調査は、景気回復がセキュリティ投資の傾向にどのような変化を与えているか、上半期に多発したリスト型アカウントハッキングのようなセキュリティ脅威の高度化、Windows XPサポート終了などへの対応などを踏まえて調査を行った。
主要動向として、1.情報セキュリティ全般の状況、2.社内セキュリティ人材の状況、3.海外におけるセキュリティ統制の状況、4.エンドポイントとクラウドの情報セキュリティ、5.新たなサイバー攻撃に対するリスク認識と対策、6.Webサイトのセキュリティ統制と脆弱性対策、7.データセンターとBCP、8.情報資産とプライバシーの保護管理という8つをテーマに調査が行われた。
その中でトピックとして、予算、人材、グローバル統制、モバイル/クラウド、インシデントレスポンス、注目の高いセキュリティトレンドという6点について発表が行われた。
NRIセキュアテクノロジーズ ストラテジーコンサルティング部 セキュリティコンサルタント 赤坂雄大氏
セキュリティ関連投資については、投資を増やす企業の割合が前年の20.1%から6.6ポイント上昇の26.7%となった。「情報セキュリティ関連投資は、リーマンショック以降、右肩上がりが続いているが、投資増額を予定する企業数は過去5年間で最も多い数値となった」(NRIセキュアテクノロジーズ ストラテジーコンサルティング部 セキュリティコンサルタント 赤坂雄大氏)
セキュリティ対策に従事する人材については「充足している」という回答が13.3%にとどまり、不足という回答が84.8%に上った。その要因として、「社内セキュリティ担当者のスキルが十分ではないため」という回答が最も多く47.0%、次に「セキュリティに関する業務量が以前より大きく増加しているため」が40.0%、3番目が「経営層の理解が得られず、人的リソースの割り当てが少ないため」が37.8%、「社内セキュリティ担当者を雇用する予算がないため」が32.8%となった。
「業務量、スキルの両面で人材不足が顕在化しているのではないか」(赤坂氏)と分析している。