NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:増谷 洋、以下「NRIセキュア」)は、2013年8月~10月に、東証一部・二部上場企業を中心とする3000社の情報システム・情報セキュリティ担当者を対象として、情報セキュリティに関するアンケート調査を実施しました(回答企業数 685社)。2002年の開始より12回目となる、本調査のデータを集計・分析してまとめた「企業における情報セキュリティ実態調査 2013」の主な結果を、本日発表しました。
本調査では、定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス※1」の5つの観点で分析しています。主な調査結果は以下のとおりです。
<予算:情報セキュリティ関連投資意欲は過去5年で最高水準>
2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となりました。一方、同投資額を「10%以上減らす」企業は7.5 %と最少となりました。これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかりました。
<人材:業務量とスキルの両面で不足する情報セキュリティ人材>
情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上りました。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化しています。また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となりました。
<グローバル統制:国内・海外でいまだ差のある拠点の統制レベル>
企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になりました。
<モバイル・クラウド:広がりを見せるモバイル、クラウドサービスの業務利用>
個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大しました。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇しました。
<インシデントレスポンス:直接・間接的要因により進む態勢強化>
「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%でした。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。一方、社内CSIRT※2(読み「シーサート」)の立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加しました。
<NRIセキュアの提言>
NRIセキュアは、今回の調査を受けて、国内企業に、「情報セキュリティ複合力」の強化を推奨します。「情報セキュリティ複合力」とは、情報セキュリティ脅威の高度化・複雑化に伴い、企業内のあらゆるリソースが攻撃対象になっている現在において、『システム・人』、『日本・海外』、『育成・アウトソース』など、相反しうる要素を束ね、より堅牢な情報セキュリティ対策を推進する能力です。情報セキュリティ投資が意欲的である今こそ、企業は、「情報セキュリティ複合力」を強化し、高度化、巧妙化するサイバー攻撃に対する耐性を高めていく必要があります。
NRIセキュアでは、今後も企業や公的機関の情報セキュリティ対策の推進を支援し、安心・安全な社会の実現に貢献していきます。
2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となりました。一方、同投資額を「10%以上減らす」企業は7.5 %と最少となりました。これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかりました。
<人材:業務量とスキルの両面で不足する情報セキュリティ人材>
情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上りました。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化しています。また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となりました。
<グローバル統制:国内・海外でいまだ差のある拠点の統制レベル>
企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になりました。
<モバイル・クラウド:広がりを見せるモバイル、クラウドサービスの業務利用>
個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大しました。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇しました。
<インシデントレスポンス:直接・間接的要因により進む態勢強化>
「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%でした。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。一方、社内CSIRT※2(読み「シーサート」)の立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加しました。
<NRIセキュアの提言>
NRIセキュアは、今回の調査を受けて、国内企業に、「情報セキュリティ複合力」の強化を推奨します。「情報セキュリティ複合力」とは、情報セキュリティ脅威の高度化・複雑化に伴い、企業内のあらゆるリソースが攻撃対象になっている現在において、『システム・人』、『日本・海外』、『育成・アウトソース』など、相反しうる要素を束ね、より堅牢な情報セキュリティ対策を推進する能力です。情報セキュリティ投資が意欲的である今こそ、企業は、「情報セキュリティ複合力」を強化し、高度化、巧妙化するサイバー攻撃に対する耐性を高めていく必要があります。
NRIセキュアでは、今後も企業や公的機関の情報セキュリティ対策の推進を支援し、安心・安全な社会の実現に貢献していきます。
用語解説
※1 インシデントレスポンス(Incident Response):
情報セキュリティ事故が発生した際の事故対応
※2 CSIRT(「シーサート」、 Computer Security Incident Response Team):
企業や公的機関などにおいて、インターネットセキュリティ上の問題を監視し、社内コンピュータ関連事故が発生した場合の対応全般を行う組織
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
