IDC Japanは4月14日、国内企業688社を対象としたセキュリティ対策の実態調査を発表した。2015会計年度の投資増減率を調べた結果、2014会計年度と比べて「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。2016年1月に実施した。
また、2016会計年度の投資見込みでは、2015年度を上回るとした企業は全体の27.0%、「減少する」と回答した企業は10.5%だった。しかし、全体の6割超の企業では投資額は前年度と変わらないと回答しており、3割超の企業はセキュリティ投資を行う項目を具体的に計画していないと回答している。
- TechRepublic
Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
同社では、2016年度の情報セキュリティ投資は2015年度に続き増加傾向にあるものの、まだ多くの企業は前年度と同額の予算で明確な投資計画を持たず、既存のセキュリティ対策への投資を継続しているとみている。
今回の調査では、脅威管理、ID/アクセス管理、セキュアコンテンツ管理など15項目のセキュリティ対策について導入状況を調べている。
セキュリティ対策の導入率は、ファイアウォール/仮想私設網(VPN)、クライアントPCでのウイルス対策が7割前後と外部からの脅威管理の導入は進んでいる反面、情報漏えい対策やID/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れていることが分かった。
また、業種別では製造や小売/卸売、教育で、従業員規模別では従業員100人未満の企業でセキュリティ対策が遅れており、業種や従業員規模によって、進んでいる企業と遅れている企業とに二極化している。
過去1年間で遭遇したセキュリティ被害について、前回(2015年1月)の調査結果と比較すると、ウイルス感染被害が減少し、サーバへの不正侵入や情報漏えい被害が増加した。被害を受けた資産では、クライアントPCが減少したものの、それ以外の資産については被害が増加しており、被害を受ける資産が広がっている。
また、半数以上の企業がセキュリティシステムで被害を発見しているものの、前回の調査結果と比較すると顧客やパートナー、第三者からの通報による発見が増加した。発見してからの収束時間については、52.2%の企業が24時間以内と回答しているものの、前回の調査では55.9%の企業が24時間以内に収束していたことから、収束時間の長期化がみられる。こうしたことから、IDC Japanではセキュリティ被害の重大化が進んでいると考えているという。
また、半数以上の企業は最高情報責任者(CIO)や最高セキュリティ責任者(CSO)を設置していない。経営者へのセキュリティに関する報告は、半数近くの企業が少なくとも四半期に1回は実施しているが、報告していない企業も2割あり、CIOやCSOを設置していない企業ほど定期的に報告していない傾向がみられたという。
損害保険会社によるサイバー保険への加入率は、現時点で1割程度だったが、加入を予定検討している企業は3~4割と、今後は加入率が高まると思われる。また、加入済みもしくは加入を予定検討している企業の7割以上がサイバー保険加入を個人情報漏えいへの対応として考えているとしている。
2010~2016会計年度の情報セキュリティ関連投資を前年度と比較した増減率(IDC Japan提供)
同社ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「業界内やグループ企業内でのセキュリティ対策レベルを平準化することが必要となっている。その解決策として、業界内やグループ企業内で統一したクラウドによるセキュリティソリューションを導入することも検討すべきである」とコメントしている。