日本企業の情報セキュリティ投資額は世界平均の半分--PwC調査

NO BUDGET

2014-11-05 19:51

 プライスウォーターハウスクーパース(PwC)は11月5日、「グローバル情報セキュリティ調査2015(日本版)」の結果を発表した。情報セキュリティや最新のサイバーセキュリティに関する世界規模のオンライン調査で、同社がCIO MagazineおよびCSO Magazineと共に経営層を対象とし、3月から5月にかけて実施した。

 企業の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対し日本企業の平均は年間2.1億円と2倍の差があるという(金額は調査当時の為替レートによる)。

 また、日本企業の4割以上がインシデントの発生要因を把握できていないことや、役員クラスの情報セキュリティリーダーが不足していることが分かり、情報セキュリティに対して日本企業の対策が十分な水準に達していないことが明らかになったとしている。

 まず世界全体の動向をみると、1社あたりの年間平均インシデント数は前回の調査結果の3741件から32%増の4948件、また被害額の年間平均は前回の調査結果の2億円から34%増の2.7億円と、ともに大きく増加している。

 一方、セキュリティインシデントの発生件数や被害額が増加しているにもかかわらず、情報セキュリティ投資額は前回の調査結果の年間平均4.4億円よりも4%減少し、年間平均4.2億円となった。また、2013年発生したセキュリティインシデントの主な要因は、現行の従業員(35%)、退職者(30%)、ハッカー(24%)という結果になっており、内部犯行という旧来型の脅威も依然として軽視できないことが分かる。

 日本企業と世界全体の比較で注目されるポイントは以下の通り。

・日本企業の情報セキュリティ投資意欲は増加しているが、投資額は世界全体平均の半分

 2013年1年間の情報セキュリティ投資額は、世界全体平均の年間4.2億円に対して、日本企業の平均は年間2.1億円と、2倍の差があることが分かった。一方、「今後1年間の情報セキュリティ投資は前年に比べ増加しますか」という問いに対して、「増加する」と回答した日本企業の割合が前回の調査結果と比べ8%増となり、投資意欲は増加している。

・日本企業はインシデントの発生要因を把握できていない

 世界全体の結果と比べると、日本企業は「退職者(11%)」や「委託業者(5%)」の回答数が少ない。また、インシデント発生要因を「わからない」と回答した企業は、世界全体の18%に対して、日本企業では半数近くの43%に上る。


インシデントの発生要因
Q: インシデントの原因は何でしょうか(複数回答)(PwC提供)

・日本企業には役員クラスの情報セキュリティリーダーが不足している

 「情報セキュリティの重要性を積極的に訴えかける役員クラスのリーダーがいる」と回答した企業は、世界全体では64%であったのに対し、日本企業の回答は41%。


情報セキュリティに関する役員クラスのリーダーの有無
Q: 情報セキュリティの重要性を積極的に訴えかける役員クラスのリーダーがいますか(単一回答)(PwC提供)

 こうした結果から、PwCでは日本企業が強化すべきセキュリティ上のポイントとして、以下のような項目を挙げている。

・適正なセキュリティ投資

 日々複雑化し増大するサイバー攻撃やデジタルデバイスの多様化を考慮すると、日本企業における情報セキュリティ投資が十分な水準にあるとは考えにくい。企業が自社にとって適切なセキュリティ対策を行うためには、「重要な情報資産の棚卸し」「社内外にいる潜在的な攻撃者の目線でのリスク評価」「既存のセキュリティ対策の効果測定」の3点が必要であると指摘する。

・内部犯行への対策

 日本では近年、退職者や委託業者による個人情報や機密情報の漏えいが数多く発生していることを考えると、発生要因が「分からない」と回答した中には、これらの内部関係者が含まれていた可能性があるとみられる。

 当社は内部犯行への対策として、退職者や委託業者を含めた内部関係者の範囲の再定義、脅威シナリオの再考、内部犯行に対するモニタリングの環境整備が求められる。

・セキュリティ管理のリーダーシップ

 7月10日に開催された情報セキュリティ政策会議における「サイバーセキュリティ 2014」に、「金融庁において、上場企業におけるサイバー攻撃によるインシデントの可能性などについて、米国の証券取引委員会(SEC)における取組等を参考にしつつ、事業などのリスクとして投資家に開示することの可能性を検討し、結論を得る」ことが明記された。

 今後、サイバーセキュリティ対策は役員全員が取り組むべき重要な経営課題となる。企業は、セキュリティ対策を担当する役員クラスのリーダーを任命し、内部犯行やサイバー攻撃に立ち向かう企業の姿勢を社内外に示すことが求められるようになるとPwCは想定している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]