IDC Japanは4月27日、2017年の国内企業セキュリティ対策実態調査の結果を発表した。政府が推進する「働き方改革」に関連したセキュリティ状況やセキュリティ予算における問題点などが浮き彫りになった。
働き方改革では、テレワークや在宅勤務などオフィス以外の場所での業務が挙げられるが、社外から社内システムへのアクセスについては26.6%が許可しており、24.4%が現在は許可していないものの検討中であることが分かった。
許可している企業のアクセス端末のウイルス対策状況では、80.4%が会社所有の端末で利用可能な製品を導入している。8.9%は従業員が個人所有端末で自費購入し、3.9%は特に会社から対策の指示を受けていなかった。
社外アクセスを許可する企業の増加が見込まれる
働き方改革とも関連のあるクラウドサービス利用でのセキュリティ状況は、まずIaaS/PaaSを26.2%が利用し、27.2%が検討中だと回答。利用中の企業で導入率が高い対策はユーザーのアクセス監視/管理(73.9%)やアンチウイルス(70.1%)などだった。検討中の企業では、暗号化(21.5%)やアプリケーション監視/管理(16.6%)、データ漏えい防止(16.6%)が挙げられている。
また、SaaSは26.0%が利用中、23.5%が検討中とし、利用中の企業で導入率が高い対策にはシングルサインオン(74.0%)やユーザーのアクセス監視/管理(69.5%)、検討中の企業ではユーザーのアクセス監視/管理(41.3%)やアプリケーション監視/管理(29.3%)が挙げられた。
IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏
クラウドサービスのセキュリティ状況についてソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、企業ではユーザーのクラウドアクセスやアプリケーションの利用状況を把握したいニーズが高く、重要データの保護に対する意識が低い傾向にあると分析する。
今後は、特に社外からのアクセスを許可する企業が増えると予想され、「企業が認めていないデバイスやサービスを従業員が密かに利用する『シャドーIT』へのセキュリティ対策が重要になり、ユーザーが機密データを利用しているかどうかの監視なども検討すべき」(登坂氏)という。
予算増も場当たり的?
2017年度のセキュリティ予算(見込み)は、2016年度を上回るとした企業が32.1%、下回るとした企業は10.1%で、上回るとした企業が多い。増減なしは57.8%で、2011年度の75.8%から毎年減少しているものの、依然として6割近くがセキュリティ予算を増強する意向にないことが分かった。
回答企業の半数以上に明確なセキュリティ予算がない
セキュリティ予算について、42.5%の企業は必要と認められた時に執行し、17.8%は監査の指摘があった部分にのみ執行すると回答し、これらの企業は予算を決めていなかった。予算を決めて投資効果を検討したり、分析したりしているなどの企業は39.7%だった。また、経営層のセキュリティへの関与については、2割強がIT責任者に任せて経営層が関与していないと答えた。
こうした現状に登坂氏は、「半数以上の企業がセキュリティ予算を増減させないのは、明確なセキュリティの目的や戦略がないことに起因しているとみられ、対策が後手に回っている」と指摘している。
調査は1月にインターネットでアンケートを行い、673社が回答した。