NRIセキュアテクノロジーズ(NRIセキュア)が1月27日に発表したレポート「企業における情報セキュリティ実態調査 2014」(PDF)を見ると、セキュリティ投資を増やす企業が増えているが、人材不足という課題を抱えていることが分かる。レポートでは「セキュリティは“守り”から“攻め”の時代へ」として結果を分析している。
同社ストラテジーコンサルティング部の部長である足立道拡氏は2014年度を振り返り、さまざまな脆弱性や脅威が多数出現した年であると説明。また、Microsoftがブラウザ「Internet Explorer」のサポートを最新版のみにすると発表したことや「サイバーセキュリティ基本法」が可決したこともトピックに挙げた。2015年には「Windows Server 2003」のサポート終了、2016年にはマイナンバー制度が開始されることも付け加えた。
NRIセキュア ストラテジーコンサルティング部 部長 足立道拡氏
NRIセキュア セキュリティコンサルタント 高木大輔氏
調査結果は「予算・人材」「セキュリティ戦略」「第3のプラットフォーム&新技術」「サイバーセキュリティ」「グローバル・ガバナンス」の5章に分けており、同社セキュリティコンサルタントの高木大輔氏が結果や傾向分析を紹介した。
「予算・人材」では、セキュリティ関連投資額を前年と比較して「小幅に増える」「かなり増える」「大幅に増える」と回答した企業が全体の31.4%となり、前回調査の26.1%から増加した。情報セキュリティに従事する人材については「どちらかといえば不足している」「不足している」企業が8割以上となった。
不足している人材は、「脅威情報収集・伝達やインシデント対応する人材」が64.7%で1位となり、「セキュリティに関する中長期的な戦略・ポリシーを策定する人材」(64.0%)、「システムに対する不正な通信やアクセス等を監視する人材」(55.0%)と続いた。
「セキュリティ戦略」では、重視するセキュリティ対策は「スマートデバイス利用時のセキュリティ対策・ルール整備」が前年の3位から1位となり、「社内セキュリティ人材の育成・従業員のセキュリティ教育」が2位、「事業継続計画(IT-BCP)の策定と改善」が3位に順位を落とした。前回6位だった「クラウドサービス利用時のセキュリティ対策・ルール整備」が4位となった。
それぞれの項目を“攻め”と“守り”に分けると、“攻め”に該当するセキュリティ対策が順位を上げており、高木氏は「セキュリティ対策が守りから攻めの時代に入った」と分析している。
-
情報セキュリティ関連投資額の増減方針(NRIセキュア提供)
-
不足している人材の種類(NRIセキュア提供)
-
重視するセキュリティ対策
「第3のプラットフォーム&新技術」では、モバイルの業務利用が確実に定着しており、“私物端末の業務利用(BYOD)”ではセキュアな公私分離が注目を集めていることが明らかになった。クラウドを利用する際に重視することは「データ保全対策」「信頼性」「料金の安さ」の順となっている。SaaSの業務利用は情報系システムが飛び抜けて多いことも特徴となった。サポートが終了した「Windows XP」からの移行を完了している企業は前回調査の10.4%から大幅に増加したが、それでも40.3%にとどまっている。
「サイバーセキュリティ」では、セキュリティの事件や事故(インシデント)に企業内で対応する専門組織“CSIRT(Computer Security Incident Response Team)”を構築済み(構築中、類似機能の実施を含む)であると回答した企業が、前回調査の19.0%から2.2倍の41.8%と大幅に伸びた。
