調査

セキュリティ投資、38%の企業が増加見込み--IDC Japanが実態調査

大場みのり (編集部)

2020-05-08 14:08

 IDC Japanは5月7日、国内企業878社を対象にした情報セキュリティ対策の実態調査結果を発表した。今回の調査は1月に実施された。

 調査対象企業に対し、2019年会計年度(以下同)における情報セキュリティ投資の増減率を調査したところ、2018年度と比べ「投資を増やす」と回答した企業は36%で、「投資を減らす」と答えた企業(10%)を上回った。また、2020年度の情報セキュリティ投資見込みでは、前年度を上回ると回答した企業は38%、下回るとした企業は9%だった。

 情報セキュリティ投資を増やす企業の多くは、ネットワークセキュリティ、アイデンティティー/アクセス管理、クラウドセキュリティを投資重点項目としている。だが6割近くの企業では、セキュリティ予算を決めておらず、計画的なセキュリティ投資ができていない。一方、セキュリティ部門の幹部がリーダーシップを持ち、経営層がセキュリティに対して積極的に関わっている企業ほど、予算にセキュリティ投資を組み込んでいるという。このことからセキュリティ責任者は、経営層にセキュリティ対策の現状を理解させることが必要だとしている。

2013~2020年度(会計年)における、前年度に対する情報セキュリティ投資の増減率(出典:IDC Japan)
2013~2020年度(会計年)における、前年度に対する情報セキュリティ投資の増減率(出典:IDC Japan)

 今回の調査では、脅威管理、アイデンティティー/アクセス管理、セキュアコンテンツ管理など、12項目の情報セキュリティ対策について導入状況を尋ねた。国内企業では外部からの脅威管理の導入が進んでいる一方、情報漏えい対策やデータ管理など、情報ガバナンス対策の導入は遅れているという。また、クラウドサービスを利用している企業では、クラウド環境でのマルウェア感染とサイバー攻撃によるシステム破壊やデータ消失を懸念しているところが多いものの、3~4割の企業はクラウド環境でのデータの暗号鍵管理やバックアップをサービス提供事業者に任せている。

 「クラウドサービスを利用する際は、サービス提供事業者とのセキュリティ対策における責任分担を明確にすべき。また、暗号化鍵管理やバックアップといったデータの取り扱いについては、顧客企業でも責任を持って運用管理することが必要」とIDC Japanは説明する。

 直近の1年間でセキュリティ被害に遭った企業は全体の54%で、その内42%の企業がランサムウェア感染の被害を受けている。ランサムウェアに感染した企業の半数以上が、バックアップファイルか、セキュリティベンダーからの暗号化ツールの入手により復旧している。また、セキュリティシステムでインシデントを検出した企業は半数ほど、顧客やパートナーからの通報によってインシデントを発見した企業は2割程度であり、セキュリティシステムだけで全てのインシデントを検出できる状況ではないという。

 2019年4月に実施した前回調査と比較すると、セキュリティ被害を発見してから収束させるまでの時間は長期化しており、復旧や賠償金などにかかった費用も増加した。被害を最小限に抑えるには、セキュリティ被害が起こることを前提にして、被害の発生を早期に検知・対処できるセキュリティ製品の導入・組織体制の構築をすることが求められるとしている。

 また同調査では、直近1年間に発生したインシデント件数と、セキュリティ投資金額・前年度に対する2020年度のセキュリティ投資増減を分析。その結果、インシデント件数が多い企業ほどセキュリティ投資金額が大きく、件数が少ない企業ほどセキュリティ投資金額が小さいと判明した。セキュリティ投資金額が大きい企業では、先進的なセキュリティシステムの導入により早期にインシデントを検出できるため、インシデント件数が増加する。そして、それらのインシデントを封じ込めるため、セキュリティ投資をさらに増やす傾向があると考えられる。一方、投資金額が小さい企業では、先進的なセキュリティシステムを導入していないことが多く、それによりインシデントが潜在化している恐れがあるという。

 IDC Japan ソフトウェア&セキュリティのリサーチマネージャーの登坂恒夫氏は「インシデント件数が少ないと感じても、先進的なセキュリティシステムを導入し、インシデントを洗い出すことが必要。そして、リスクアセスメントなどにより脆弱な部分を特定して早期になくしていくべき」と述べている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  5. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]