セキュリティ投資意欲は過去5年で最高
ストラテジーコンサルティング部 部長の足立道拡氏と、セキュリティコンサルタントの赤坂雄大氏によると、調査は定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を設定。それへの回答を「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス」の5つの観点で分析した。
まず、予算については、情報セキュリティ関連投資の増額を予定している企業が過去5年間で最も多いという結果になった。情報セキュリティ関連投資額を2012年度より「10%以上増やす」とした企業は、2012年の20.1%から26.7%に上昇。一方、同投資額を「10%以上減らす」企業は、7.5%と最少となった。「企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかった」としている。
人材については、情報セキュリティ対策に従事する人材が充足しているかどうか、不足している場合はその理由を聞いた。それによると「不足している」と考える企業は、全体の84.8%に上った。「不足している」と回答した企業の理由は、回答の多い順に「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%となるなど「業務量とスキルの両面で人材不足が顕在化した」という。
また、企業が重視する情報セキュリティ対策では、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、昨年1位の「事業継続計画、IT-BCPの策定と改善」(今年度は42.3%で2位)と昨年2位の「スマートデバイス利用時のセキュリティ対策・ルール整備」(今年度は38.6%で3位)を越え、1位にランクした。「育成・教育といった人材への投資に、注目が集まっている状況」だという。
3つめのグローバル統制については、国内拠点と海外拠点とでセキュリティ統制に大きな差異があることがわかった。具体的には、セキュリティ統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となった。海外拠点では、「現地のセキュリティ意識が低い」が60%、「拠点担当が兼務のため、セキュリティ業務がおろそかになりがち」が54.7%と高く、「セキュリティ対策の具体的な推進方法で悩みが多い」という。
4つめのモバイル・クラウドは、BYOD(Bring Your Own Device)やクラウド利用が進んでいる状況が明らかになった。BYODについては「開始する目途がある」とする企業の比率は2012年度調査の5.7%から15.0%に拡大した。また、クラウドサービス(ファイルサーバ、ウェブメール、CRMなどの個人情報・機密情報を取り扱うクラウドサービス)を「業務利用している」企業は、2012年度の38.3%から48.1%へと上昇した。
2012年度が0.0%だった電力・運輸エネルギーが22.6%に、同4.9%だった小売が24.1%になるなど、「これまで導入実績が少なかった業界においてもBYOD導入が浸透してきている」とした。なお、クラウドサービスについては「海外への情報保存を認めている企業」が29.3%ある一方、保存のための「ルールを定められていない企業」が22.8%に達するなど、「ルールが定められていないために意図せずに海外でデータが搾取されている危険性もある」と指摘した。
5つめのインシデントレスポンスについては、「標的型攻撃を経験したことがある」と回答した企業が全体の20.7%に達し、そのうち「過去1年以内に標的型攻撃を経験」した企業は82.9%に上るという実態が明らかになった。実際に被害が発生した企業についても、30.7%に達した。その一方で、社内CSIRT(インシデントレスポンスチーム)を設置する動きも進んでいる。22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加した。
