シトリックスは、新しいITセキュリティアーキテクチャに関するグローバルでの調査結果を発表した。この調査は、2016年に世界15カ国の企業および団体に所属するIT担当者およびITセキュリティ関係者を対象に実施され、4268の有効回答を得ている。
これによると、新しいITセキュリティフレームワークのゴールとして重要なゴールを2つ選択してもらったところ、グローバルおよび日本共通でトップ2は、「会社のユーザー全体を一元管理できるようにする(グローバル:53%、日本: 56%)」、「新たに発生する攻撃に常に対応可能な状態にある(グローバル: 48%、日本: 55%)」という結果となった。特に日本の回答者はこの2つのゴールを半数以上の回答者が選択しており、グローバル全体や他の調査対象国と比較しても高い割合を示している。
この設問では、新しいITセキュリティフレームワークのゴールとして「業務改革を推進しながら、セキュリティインフラを保護する」「会社全体で管理できる状態である」「ビジネスクリティカルなアプリケーションやシステム全体を把握している」「新たに発生する攻撃に常に対応可能な状態にある」「会社のユーザー全体を一元管理できる状態にある」という項目が示されている。
また、今後2年間に向けてセキュリティリスクを軽減するテクノロジ全23項目において、1(重要性は低い)-10(重要性が高い)の数値を回答してもらい、7以上をつけた回答の占める割合からそれぞれのテクノロジの重要性を集計した。
その結果、上位8項目の中で、グローバル、日本共通で、「IDおよびアクセス管理(グローバル:78%、日本:79%)」、「機械学習(グローバル:77%、日本:80%)」、「コンフィギュレーションおよびログ管理(グローバル:76%、日本:86%)」、「SIEMおよびセキュリティ インテリジェンス(グローバル:73%、日本:81%)」、「アンチウイルスおよびアンチマルウェア(グローバル:72%、日本:73%)」、「アプリケーション管理(グローバル:72%、日本:79%)」など、複雑なセキュリティ管理を軽減するテクノロジーが重要なテクノロジーとして認識されていることが分かった。日本の回答では、「移動中のデータの暗号化(75%)」、「データ損失の防止(68%)」といったデータ保護に関するテクノロジも重要視されている。
一方、現状利用されているセキュリティインフラに関しての有効性についても10段階の評価を回答者につけてもらっている。全体の有効性では7以上の数値をつけた回答者の割合は、グローバルで58%、日本は60%と言う結果となった。
データとアプリケーションの保護、アクセス管理および多要素認証、シャドーIT対策、ネットワーク、BCP対策、サイバー攻撃の6つに関する有効性、そしてこれらを含む全体のインフラの有効性の評価では、「どのネットワーク接続やデバイスにおいてもトラフィックの可用性とパフォーマンスを確実に維持できる(グローバル: 66%、日本:71%)」が唯一5割を超えた項目となった。
その他の5つの項目で特に有効性が低いと認識されている項目は、グローバル、日本ともに、「新しくかつ承認されていないアプリケーションやデバイスの流入によるリスクを軽減できる(グローバル:33%、日本:41%)」、「デバイス、サーバー、クラウド内の情報を保護するためにアクセス管理や多要素認証を効果的に利用している(グローバル:37%、日本: 40%)」となり、シャドーIT対策およびアクセス管理/多要素認証の効果的な利用に課題を持っている企業や組織が多いことが分かった。日本においては、「中断や災害時に従業員の業務とビジネスの継続性を確実に維持できる」も43%と低い回答となっている。
また、「IoTによってもたらされるであろうセキュリティリスクに対応する準備が万全ではない」と回答した人は75%(日本: 77%)と高い割合を占めた。セキュリティのマインド低下およびリスク増加の要因の質問においても、「専門的な知識を持ったスタッフを雇用または維持できない(グローバル:88%、日本:85%)」、「予算不足(グローバル:65%、日本:71%)」、「必要なテクノロジーの欠乏(グローバル:64%、日本:59%)」という結果が出ている。
さらに、2018年5月25日に施行予定のThe General Data Protection Regulation (GDPR)への対応では、日本の回答者の51%の組織がGDPRについて認知しており、そのうちの36%は予算を確保し、準備に着手していることが分かった。グローバルの平均は、66%が認知しており、そのうちの51%が準備に着手している。EU加盟国のドイツ、フランス、オランダに、英国、米国を加えた5カ国では、その認知度は7割を超えている。