KPMGコンサルティングは9月26日、国内企業を対象に実施したセキュリティ実態調査の結果を発表した。企業が抱える主要な課題にセキュリティ状況の可視化と、その状況を理解できる人材の不足を挙げている。
調査は3回目となり、4月1日~5月22日に上場企業と年商400億円以上の未上場企業を対象としてアンケートを行い、329件の有効回答を得た。
まず被害実態では、過去1年に不正侵入の痕跡を発見した企業が31.3%に上った。発見理由は、セキュリティ部門による監視が31.4%、社員の通報が31.4%、業務委託先のITベンダーの通報が24.8%で、企業内および関係者による検知が全体の8割強を占めた。被害内容では、自社業務・システムの著しい遅延・中断が41.3%、自社の経済的損失が22.5%などとなっている。
セキュリティ投資に関しては、現状の評価で投資額が「やや不足」とした企業は52%、「大いに不足」としたのは13%、「適切」が34%だった。2017年度と2018年度の投資額規模では「横ばい」が58%で最多だが、「増加」は38%、「減少」は4%で、投資を強化する傾向が見られた。セキュリティ課題では、「知見ある実務者の不足」が59.9%で最も多く、以下は「投資効果が不明」(48.0%)、「どれだけ投資すべきか不明」(45.0%)、「従業員意識が低い」(41.9%)と続く。
KPMGコンサルティング サイバーセキュリティアドバイザリーグループ パートナーの田口篤氏
こうした結果についてサイバーセキュリティアドバイザリーグループ パートナーの田口篤氏は、「セキュリティ投資の現状評価に関しても、感覚的な回答が多い印象を受けた。経営ダッシュボートのようなKPI(主要評価指標)に基づく対策への取り組みはこれからだろう」と指摘する。
一方で、不正侵入の痕跡の8割以上を企業内や関係先で検知しているという結果のほか、調査では自社に対するサイバー攻撃などの情報を業界のセキュリティ組織で共有している割合が31.6%、同組織で他社への攻撃情報を収集している割合が89.5%に上ることが分かった。こうしたことから、少なくともサイバー攻撃などの脅威に関する状況を可視化するという企業の取り組みは、ある程度進んでいる様子がうかがえる。
KPMGコンサルティング サイバーセキュリティアドバイザリーグループ ディレクターの大西武史氏
企業が今後推進すべきセキュリティの取り組みでは、「監視の強化」(51.1%)や「セキュリティ人材の育成」(48.3%)、「IoTやクラウド環境の対策」(46.2%)、「内部不正対策」(46.2%)などが挙がった。同ディレクターの大西武史氏は、「人材に関しては、監視によって生じたアラートを把握してもその内容を理解できず、インシデントの対応がうまくできないという企業が多い」と話す。セキュリティ監視など脅威を可視化する仕組みはあっても、可視化した状況を理解したり、それをもとに具体的な対応作業を指示、実行したりできる人材が不足していると指摘する。
なお、セキュリティ責任者(CISOなど)を設置している企業は60%、CSIRTを設置している企業は27%だった。CSIRTに関しては「今後設置予定」および「設置の検討を希望」を合わせて34.7%に上る。調査から、回答企業の約6割はセキュリティ組織体制の整備を進める一方、約4割は責任者もCSIRTも設置しないという結果が明らかとなった。