2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となりました。一方、同投資額を「10%以上減らす」企業は7.5 %と最少となりました。これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかりました。
<人材:業務量とスキルの両面で不足する情報セキュリティ人材>
情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上りました。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化しています。また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となりました。
<グローバル統制:国内・海外でいまだ差のある拠点の統制レベル>
企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になりました。
<モバイル・クラウド:広がりを見せるモバイル、クラウドサービスの業務利用>
個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大しました。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇しました。
<インシデントレスポンス:直接・間接的要因により進む態勢強化>
「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%でした。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。一方、社内CSIRT※2(読み「シーサート」)の立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加しました。
<NRIセキュアの提言>
NRIセキュアは、今回の調査を受けて、国内企業に、「情報セキュリティ複合力」の強化を推奨します。「情報セキュリティ複合力」とは、情報セキュリティ脅威の高度化・複雑化に伴い、企業内のあらゆるリソースが攻撃対象になっている現在において、『システム・人』、『日本・海外』、『育成・アウトソース』など、相反しうる要素を束ね、より堅牢な情報セキュリティ対策を推進する能力です。情報セキュリティ投資が意欲的である今こそ、企業は、「情報セキュリティ複合力」を強化し、高度化、巧妙化するサイバー攻撃に対する耐性を高めていく必要があります。
NRIセキュアでは、今後も企業や公的機関の情報セキュリティ対策の推進を支援し、安心・安全な社会の実現に貢献していきます。
用語解説
※1 インシデントレスポンス(Incident Response):
情報セキュリティ事故が発生した際の事故対応
※2 CSIRT(「シーサート」、 Computer Security Incident Response Team):
企業や公的機関などにおいて、インターネットセキュリティ上の問題を監視し、社内コンピュータ関連事故が発生した場合の対応全般を行う組織
お問い合わせにつきましては発表元企業までお願いいたします。