この調査により、企業の情報セキュリティにおける脅威の高まりに対応するうえで、スプレッドシートや電子メールによる手動プロセス、それぞれが連携されていないシステム、そして人材不足などが脆弱性への対応を中心とした情報漏えい対策への大きな課題となっていることや、その課題を解決するアプローチとして自動化や人工知能(AI)の採用が進んでいることが明らかになった。
企業のセキュリティ意識調査について説明するServiceNow Japan株式会社 社長 村瀬 将思氏
セキュリティレスポンスを軽視する日本
日本企業では、情報セキュリティ部門の予算や人材などの85%(世界9か国平均で79%)を、ファイアウォールやデータ漏えい防止ツールなどのデータの保護/検出機能に投資している一方で、セキュリティレスポンスには限られた予算や人材しか割いていないことが明らかになった。このことは、他国と比べて日本企業が脅威発生前の対策に重点を置き、脅威が発生した後の対策には十分に手が回っていないことを示している。
実際に日本は、保護、検出、レスポンスの主要なセキュリティ対策の中で、レスポンスに対する投資が調査国中でオランダと並んで最も低い値(日本で15%、世界9か国平均で21%)を示しているという。ServiceNowでは、セキュリティレスポンスのような比較的コントロールが容易な分野への投資は、企業の情報セキュリティを大幅に向上させることができるものと考えている。
調査から判明した日本に関する主なインサイトは次のとおり。
- 不十分なパッチ管理が、情報漏えいの大きな原因となっている。
- 手動プロセスやそれぞれが連携されていないシステム、情報セキュリティ人材の不足がタイムリーなパッチ適用の障壁となっている。
- 脆弱性対応のために、自動化やAIなどの最新テクノロジーを活用することが重要である。
セキュリティレスポンスの弱体化につながる対症療法としてのパッチ適用
日本の回答者の48%が過去2年間で情報漏えいを経験したと答えており、この割合は世界平均と同水準となっている。過去2年間で情報漏えいを経験したと答えた日本の回答者のうち、64%(世界9か国平均で57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べている。このことは、脆弱性へのタイムリーな対応が外部からの攻撃を防ぐ上で非常に重要であるということを示唆している。
■タイムリーなパッチ適用を妨げる理由
情報セキュリティ部門は、手動プロセスやそれぞれが連携されていないシステム、そしてセキュリティ人材の不足が原因で、タイムリーなパッチ適用に課題を抱えている。
- 日本の83%(世界9か国平均で72%、日本は調査対象9か国のうち最も高い割合)の回答者が、脆弱性の量に情報セキュリティ部門の予算や人材の供給が追い付いていないと答えており、この予算や人材の不足が、日本での脆弱性対策パッチの適用プロセスで遅延を引き起こす最大の要因となっている。
- 日本の55%(世界9か国平均で61%)の回答者が、自動化されていない手動プロセスが、脆弱性へのパッチ適用の障害となっていると述べている。
- 日本の57%(世界9か国平均で55%)の回答者が、パッチ適用など脆弱性への対応そのものよりも、調整や対応計画の策定などの手動プロセスに多くの時間を割いていると認めている。
- パッチ適用までのチーム間の作業調整に、日本では平均12.72日(世界9か国平均で12.1日)を要している。
- 日本の69%(世界9か国平均で73%)の回答者が、情報セキュリティ部門とIT部門の間で、IT資産やアプリケーションに関する情報を共有できていないと述べている。
また、調査では過去2年間で情報漏えいのなかった企業の特徴についても明らかになった。情報漏えいが発生しなかった企業は、情報漏えいを経験した企業と比べて、脆弱性やサイバー攻撃の検出、タイムリーな脆弱性対策パッチの適用などの分野に関する自己評価が高くなっている。
情報セキュリティの課題を解決する自動化やAI
非営利の国際IT専門団体であるISACAによると、2019年までに情報セキュリティ専門家が200万人不足すると予測されている。また、日本の70%(世界9か国平均で64%)の回答者が、今後12か月で脆弱性対策パッチの適用のための情報セキュリティ担当者を雇う予定であると回答している。
しかしその一方で、日本では、人材不足が深刻で特にIT人材の採用が困難となっている実情がある中、企業の間では新たなアプローチの活用が始まっている。実際に、セキュリティレスポンスに関するテクノロジーとして、脅威インテリジェンスの活用(日本の55%、世界9か国平均で51%)、セキュリティ対応の自動化(日本の50%、世界9か国平均で45%)、AI・機械学習の活用(日本の39%、世界9か国平均で33%)が日本企業の間でも広がっている。
また、2018年5月から欧州で施行される一般データ保護規則(GDPR)のような顧客情報を含む情報漏えいに対する企業の責任を問う法律が新たに制定された場合のパッチ管理の能力を高めるための手段として最も多かった回答は、自動化の採用や強化(日本の54%、世界9か国平均で46%)となり、担当者の数を増やすと答えた回答者(日本の43%、世界9か国平均で40%)を大きく上回っている。これらの事実は、日本企業が自動化やAIなどの最新テクノロジーを取り入れることでセキュリティレスポンスをより効率化し、強化を図っていることを示唆している。
