IDC Japanは5月7日、国内企業878社を対象にした情報セキュリティ対策の実態調査結果を発表した。今回の調査は1月に実施された。
調査対象企業に対し、2019年会計年度(以下同)における情報セキュリティ投資の増減率を調査したところ、2018年度と比べ「投資を増やす」と回答した企業は36%で、「投資を減らす」と答えた企業(10%)を上回った。また、2020年度の情報セキュリティ投資見込みでは、前年度を上回ると回答した企業は38%、下回るとした企業は9%だった。
情報セキュリティ投資を増やす企業の多くは、ネットワークセキュリティ、アイデンティティー/アクセス管理、クラウドセキュリティを投資重点項目としている。だが6割近くの企業では、セキュリティ予算を決めておらず、計画的なセキュリティ投資ができていない。一方、セキュリティ部門の幹部がリーダーシップを持ち、経営層がセキュリティに対して積極的に関わっている企業ほど、予算にセキュリティ投資を組み込んでいるという。このことからセキュリティ責任者は、経営層にセキュリティ対策の現状を理解させることが必要だとしている。
2013~2020年度(会計年)における、前年度に対する情報セキュリティ投資の増減率(出典:IDC Japan)
今回の調査では、脅威管理、アイデンティティー/アクセス管理、セキュアコンテンツ管理など、12項目の情報セキュリティ対策について導入状況を尋ねた。国内企業では外部からの脅威管理の導入が進んでいる一方、情報漏えい対策やデータ管理など、情報ガバナンス対策の導入は遅れているという。また、クラウドサービスを利用している企業では、クラウド環境でのマルウェア感染とサイバー攻撃によるシステム破壊やデータ消失を懸念しているところが多いものの、3~4割の企業はクラウド環境でのデータの暗号鍵管理やバックアップをサービス提供事業者に任せている。
「クラウドサービスを利用する際は、サービス提供事業者とのセキュリティ対策における責任分担を明確にすべき。また、暗号化鍵管理やバックアップといったデータの取り扱いについては、顧客企業でも責任を持って運用管理することが必要」とIDC Japanは説明する。
直近の1年間でセキュリティ被害に遭った企業は全体の54%で、その内42%の企業がランサムウェア感染の被害を受けている。ランサムウェアに感染した企業の半数以上が、バックアップファイルか、セキュリティベンダーからの暗号化ツールの入手により復旧している。また、セキュリティシステムでインシデントを検出した企業は半数ほど、顧客やパートナーからの通報によってインシデントを発見した企業は2割程度であり、セキュリティシステムだけで全てのインシデントを検出できる状況ではないという。
2019年4月に実施した前回調査と比較すると、セキュリティ被害を発見してから収束させるまでの時間は長期化しており、復旧や賠償金などにかかった費用も増加した。被害を最小限に抑えるには、セキュリティ被害が起こることを前提にして、被害の発生を早期に検知・対処できるセキュリティ製品の導入・組織体制の構築をすることが求められるとしている。
また同調査では、直近1年間に発生したインシデント件数と、セキュリティ投資金額・前年度に対する2020年度のセキュリティ投資増減を分析。その結果、インシデント件数が多い企業ほどセキュリティ投資金額が大きく、件数が少ない企業ほどセキュリティ投資金額が小さいと判明した。セキュリティ投資金額が大きい企業では、先進的なセキュリティシステムの導入により早期にインシデントを検出できるため、インシデント件数が増加する。そして、それらのインシデントを封じ込めるため、セキュリティ投資をさらに増やす傾向があると考えられる。一方、投資金額が小さい企業では、先進的なセキュリティシステムを導入していないことが多く、それによりインシデントが潜在化している恐れがあるという。
IDC Japan ソフトウェア&セキュリティのリサーチマネージャーの登坂恒夫氏は「インシデント件数が少ないと感じても、先進的なセキュリティシステムを導入し、インシデントを洗い出すことが必要。そして、リスクアセスメントなどにより脆弱な部分を特定して早期になくしていくべき」と述べている。