2025年2月27日、NRIセキュアテクノロジーズ(NRIセキュア)は、「企業における情報セキュリティ実態調査2024」の調査結果を発表した。
同調査では、2024年7月から10月にかけて、日本、アメリカ、オーストラリア3ヵ国の企業計2,491社を対象に、情報セキュリティに関する実態調査を実施。結果の一部は以下のとおり。
日本企業の生成AIの活用率は65.3%
生成AIの活用用途について尋ねたところ、日本では社内の個人利用が最も多く(51.4%)、問い合わせチャットボットなどを含む顧客向けサービスで活用していると答えた割合は6.3%に留まった。一方、米・豪では社内向け業務や顧客向けサービスでの活用が多く、日本と比べて活用用途に違いがあることが浮き彫りになったとしている。また、「活用していない」と回答した割合から紐解くと、何らかの形で生成AIを活用している企業は、日本では65.3%だったのに対し、米国は99.2%、豪州は100%と、ほとんどの企業で生成AIを活用していることがわかったという。
Q.「生成AI(ChatGPT、コード生成AI、Azure OpenAI Serviceなど)活用の用途について、以下の中からあてはまるものをすべてお選びください」(複数回答)
[クリックすると拡大します]
また、生成AIを活用して顧客向けサービスを提供していると回答した企業に対して、生成AIサービスの提供を検討するにあたり、懸念や課題になることについて尋ねたところ、日本では「入力可能なデータの判断」「ルールを策定する人材の不足」と回答した企業がそれぞれ45.7%と最も多い結果となった。米国では「利用コストの予測」(47.6%)、豪州は「ルールを策定する人材の不足」(44.4%)が最も多くを占めた。
Q.「生成AIサービスの提供を検討するにあたり、懸念や課題となることはありますか。以下の中からあてはまるものをすべて選択してください」(複数回答)
[クリックすると拡大します]
ゼロトラストセキュリティは検討段階から実装要否を決めた段階へ
ゼロトラストセキュリティの実施状況について尋ねたところ、「ゼロトラストを全面的に実装している」または「ゼロトラストを一部実装している」と回答した日本企業の割合は合計で21.1%となり、2年前の調査と比べると7.8ポイント増加した。また、「ゼロトラストを検討したが実装しなかった」と回答した割合も9.1%と、同じく4ポイント増加しているという。これらより、ゼロトラストを実装するかどうかを検討する段階を終えて、実装の有無を決めた企業が増えている傾向が推測できるとしている。
Q.「ゼロトラストの実施状況について、以下の中から最もよくあてはまるものを1つお選びください」
[クリックすると拡大します]
また、同社はVPNの使用状況を調査。その結果、約8割の日本企業が「今後も使用を継続予定」と回答した一方で、6.8%の企業が「使用停止を検討している」と回答し、2.9%は直近1年間または1年以上前に「使用を停止した」と答えた。「使用停止を検討している」または「使用を停止した」企業に停止の理由を尋ねたところ、「ゼロトラストセキュリティ推進による脱VPN」を選んだ割合が62.2%と最も多くを占めたという。サイバー攻撃の標的となりやすいVPNの利用をやめ、ゼロトラストセキュリティによるアクセス制御を強化する動きが広がっていると考えられるとのことだ。
Q.「あなたの会社では現在VPNを使用していますか?以下の中から最もよくあてはまるものを1つ選択してください」
[クリックすると拡大します]
サイバーレジリエンスへの注目度は規模が大きい企業ほど高い
サイバーレジリエンスの理解度やその実践状況について尋ねたところ、「サイバーレジリエンスを理解している」と回答した日本企業の割合は全体では24.7%だったが、そのうち従業員規模が1万人以上の企業では、80.0%を占めたという。規模が大きい企業ほど、アタックサーフェス(攻撃対象領域)が広く、サプライチェーンリスクへの関心が高まることから、サイバーレジリエンスへの注目も高くなっていると考えられるとのことだ。
Q.「サイバーレジリエンスについて、以下の中から、最もよくあてはまるものを1つお選びください」
[クリックすると拡大します]
「サイバーレジリエンスを理解し、実践している」と回答した企業に対して、具体的な取り組み内容を尋ねたところ、「訓練、教育の実施」(71.2%)「技術的対策の強化(検知、対応、復旧)」(61.0%)が上位に挙がった。サイバー攻撃の検知、対応、復旧にかかる技術的対策を強化するという選択肢が2番目に多かった背景には、サイバー攻撃から守る対策だけではなく、攻撃の検知と対応および自社で被害が発生した際の復旧に至るまでが、事業活動の継続において重要視されていることが挙げられるという。
Q.「サイバーレジリエンス実践の取り組みについて、以下の中からあてはまるものをすべてお選びください」(「サイバーレジリエンスを理解し、実践している」と回答した日本企業のみ[n=59]、複数回答)
[クリックすると拡大します]
IT関連予算に占めるセキュリティ関連予算の割合が増加
IT関連予算のうちセキュリティ関連予算が占める割合について尋ねた結果、2023年度の調査では10%以上を占めると回答した日本企業が全体の22.3%だったことに対して、2024年度の調査では29.8%と7.5ポイント増加した。多発するランサムウェア攻撃への対策などで、セキュリティ施策に投資する動きが拡大していることが影響していると考えられるという。
Q.「IT関連予算に対する情報セキュリティ関連予算の割合は、どの程度を見込んでいますか。以下の中から、最もよくあてはまるものを1つお選びください」
[クリックすると拡大します]
調査概要
| 調査名 | 「企業における情報セキュリティ実態調査2024」 |
|---|---|
| 調査目的 | 日本、アメリカ、オーストラリアの企業における情報セキュリティに対する取り組みを明らかにするとともに、企業の情報システムおよび情報セキュリティ関連業務に携わる者に、有益な参考情報を提供する |
| 調査時期 |
|
| 調査方法 | Webによるアンケート |
|
回答企業数と 従業員規模別の 内訳 |
※単一回答のパーセンテージについては、小数点以下の値の切り上げ・切り捨てにより、各選択肢の回答割合の合計値が100%にならない場合がある |
【関連記事】
・NRIセキュアと野村総合研究所、「セキュリティ・バイ・デザイン」標準実装のトータルセキュリティを提供へ
・NRIセキュア、「Cloudflare WAF」のクラウド型管理サービスを提供開始 運用管理まで支援
・NRIセキュア、SBOMによる脆弱性監視の支援サービスを提供開始 脆弱性情報収集の負担を軽減
