サイバー攻撃や内部犯行による大規模な情報漏えいが続いている。それが、企業にとって大きなリスクになり得ることを、改めて意識する結果となった。
IDCがこの春に発表した、国内企業638社の情報セキュリティ対策に関する調査でも、2013年度の情報セキュリティ関連投資が前年度より「増加している」が18.6%、「減少する」が11.0%となった。2014年度については、前年度より増加するのは20.1%、減少するのは11.0%という結果だった。
情報セキュリティ対策について導入状況に関する設問では、情報セキュリティ対策の導入率は、ファイアウォールや仮想専用網(VPN)、PCでのウイルス対策が6割以上と外部からの攻撃対策の導入が進む。情報漏えいやアクセス管理といった内部犯行向けの対策、脆弱性管理といった内部対策の導入率は4割程度という。
実際の被害を見ると、ウイルスに感染した企業が3割以上と、これまでの最多を記録。2013年1月の調査結果と比較すると、ウェブアプリケーションサーバや業務アプリケーションサーバ、製造ライン、販売時点情報管理(POS)端末で被害を受けたと回答した企業の比率が高まった。
一方、巧妙な標的型攻撃や悪意ある内部者、シャドーITの一般化など、考慮すべき範囲がより広がり、セキュリティへの投資を全方位的に実施するのが困難になっている企業も多い。課題を明確にし、限られた予算を的確に運用していく必要がある。
ZDNet Japanでは、こうした課題を解決するためのセミナーを11月6日に開催する。テーマは「今後、機密情報をどう守ればいいのか? 標的型攻撃、内部犯行など、複合化するセキュリティ課題への組織的対処」。
悪意はサイバー攻撃や内部からも
基調講演では「なぜ日本企業は防御偏重のサイバーセキュリティ対策を好むのか」をテーマに、プライスウォーターハウスクーパース(PwC)でディレクターを務める山本直樹氏が講演する。
PwCの調査結果や世界の先進事例を踏まえ、日本企業を対象に提言する。 防御に偏重したこれまでの対策を改め、インシデントの検知やインシデントレスポンスを重視する先進企業の取り組みなどを知ることができる。
特別講演では、ISO/IEC 27017の日本での策定リーダーとして知られるディアイティの河野省二氏が、夏以降に国内で相次いだ大型の情報漏えい問題を取り上げ、解説する。セキュリティ対策における基本認識に新たな視点を投げかける興味深い内容になる。
2012年度(会計年)~2014年度(会計年)の情報セキュリティ関連投資額の前年度と比較した増減率、2013年1月と2014年1月の調査比較(IDC提供)