IDC Japanは4月9日、国内企業の情報セキュリティ対策について調査した結果を発表した。調査は2021年1月に実施され、調査対象となった企業は883社だった。
説明に当たったIDC Japan リサーチマネージャーの登坂恒夫氏は、まず「6割近くの企業が、決められたセキュリティ予算がないと回答している」と指摘。計画的なセキュリティ投資の重要性を強調した。
IDC Japan リサーチマネージャーの登坂恒夫氏
セキュリティ投資額の増減については、半数以上が前年と変更なしと回答する一方で、投資を減らすと回答した企業(14.3%)よりは増やすと回答した企業(31%)の方が多く、「投資額は増加傾向にある」としている。ただし、2019年度の調査では、投資を増やすと回答した企業が36.4%であったことから、「新型コロナウイルス感染症の拡大に伴い、投資意欲が若干弱まった」と分析している。
情報セキュリティ対策を導入している分野については、「ネットワークセキュリティ、エンドポイント、メッセージング、ウェブなど、外部脅威対策を実施している比率が高い」と登坂氏。次いで、アイデンティティー管理やアクセス管理、ポリシー管理、ガバナンス、情報漏えい対策なども挙げられているが、これらについては「外部脅威対策よりは投資が弱い」と指摘する。その背景として登坂氏は、「外部脅威対策は情報システム部門が担当するものの、ガバナンスやコンプライアンス対策は法務部門が担当することもあり、全社的な導入が困難になっている可能性がある」と述べ、こうした分野の導入率を高める必要があるとした。
今回の調査では、リモートワークの実施状況についても調査している。コロナの感染拡大以前より利用している企業は2割弱で、半数以上が感染拡大に伴いリモートワークを実施したという結果だった。
リモートワークを実施している企業およびリモートワークを検討している企業が懸念しているセキュリティ脅威は、「エンドポイントデバイスでのマルウェア感染を懸念する企業が7割強と最も多い」という。これは、エンドポイントを外部に持ち出し利用することで、デバイスの信頼性が担保できず、不正アクセスへの懸念が高まっているためだと登坂氏は説明する。このほかにも、オンプレミスおよびクラウドサービスへの不正アクセスによる情報漏えいが懸念されている。
こうした中、リモートワークで強化したセキュリティ対策として最も多かったのはアクセス管理だった。次いで、EDR(Endpoint Detection and Response)によるエンドポイントセキュリティを強化する企業も多かった。
セキュリティ被害の状況についても調査したところ、過去1年間にセキュリティ被害に遭った企業は56.3%だった。中でもランサムウェア感染の被害を受けた企業が42.5%にの上った。
ランサムウェアの被害に遭った企業の対処方法としては、「半数以上がセキュリティベンダーに相談し、ツールを用いて復旧に至った」と登坂氏。ただし、バックアップシステムにまで被害が及ぶと復旧が困難になることから、「今後はバックアップの方法も課題になる」としている。なお、ランサムウェアの要求通り金銭を支払ったとの回答も約4%存在した。
被害を発見した方法としては、セキュリティシステムでインシデントを検出した企業が5割弱だった。ただし、システムによる検出は2020年より若干減少し、逆に「顧客やパートナー、社員など、第三者からの通報によってインシデントを発見した企業が増加した」と登坂氏。そのため、「被害が収束するまでの時間は少し短縮したように見えるが、第三者からの通報で発見したケースが増えていることを考えると、発見までの時間が長くなっている可能性が高い」と警告している。
これらの結果を踏まえ、登坂氏は次のような提言をしている。
まず、クラウドサービスではポスチャー管理などを導入し、設定ミスなどの人為的ミスを回避する必要があることだ。IaaS、PaaS、SaaSなどのクラウド環境では、「サイバー攻撃によるデータ喪失と同程度に、人為的ミスによる情報漏えいを懸念している企業が多い」と登坂氏は指摘しており、そのようなミスを防ぐためにもセキュリティ状況を把握するポスチャー管理などのシステムを導入すべきだとしている。
次に、セキュリティ被害が起こることを前提として、被害の発生を早期に検知し対処できるセキュリティ製品を導入するとともに、組織体制を構築することだ。体制作りとしては、ISO/IEC 27001やNISTなどのセキュリティフレームワークを採用している企業が多いものの、「特に何のフレームワークも採用していない企業が全体で半数以上、従業員数1000人以上の企業でも2割強存在する」と登坂氏は懸念を示し、「インシデントが発生した場合の体制を構築する必要がある」としている。
そして最後に登坂氏は、「強化すべきセキュリティ対策の優先度を明確にし、計画的にセキュリティに投資し強化していく必要がある」と述べた。境界防御だけでなく、データ保護やアプリ保護、クラウド環境の可視化など、対策すべき分野は多岐にわたることから、「システム構築や設計プランに合わせ、計画的セキュリティ投資をするように」と登坂氏は呼びかけている。