セキュリティ被害の重大化が進んでいる
今回の調査は2016年1月に実施、インターネットによるWeb調査で行った。有効回答数は688件(企業)。
まずは組織体制。CIOあるいはCSOを設置している企業は全体の44.3%で、半数以上はいずれも設置していないという状況にある。経営者へセキュリティに関する報告頻度については「四半期に一度」以上と回答したのは47.3%で半数弱。アメリカでは同回答は半数を超えており、日本は少し及ばない。
一方、日本で「報告していない」という回答が19.3%という気になる結果もあった。同社リサーチマネージャ ソフトウェア&セキュリティグループ 登坂氏によると、従業員規模が大きいほどCIOやCSOを設置している企業が多く、報告頻度も高い傾向にあるという。
IDC Japan リサーチマネージャ
ソフトウェア&セキュリティグループ 登坂 恒夫氏
情報セキュリティ投資動向で見ると、2015年と比較して2016年は全体では増加傾向ではあるものの、6割以上の企業は「増減なし」と回答している。「増減なし」は登坂氏の分析によると「前年と同額で既存のセキュリティ対策を継続している」という状況のようだ。増加の企業では明確な目的を持ち投資を増やしていると考えられる。
投資の内容を見ると、全体ではまだネットワークセキュリティなど外部脅威対策に重点が置かれており、内部脅威対策はまだ遅れている。「セキュリティ投資を増やす」と回答した企業で見ると、昨年では「モバイル デバイス管理」が上位だったのに対し、2016年では「ウィルス対策」「脆弱性管理」が同率トップに並んだ。登坂氏は「標的型攻撃への危機感」が背景にあると見ている。
実際に遭遇した被害についての調査結果もあった。2015年と2016年で比較すると、ウィルス感染は減少している(28.5%→20.6%)。一方、サーバーへの不正侵入は増加している(7.6%→10.6%)。数としてはそう多くないものの、サーバーへの攻撃が増えているのは気になるところだ。なお被害を受けたサーバーはファイルサーバーが最も多く、以降はWebアプリケーションサーバー、データベースサーバー、業務アプリケーションサーバーと続く。
被害の発見方法を見ると、セキュリティシステムによるインシデント検出が最も多く、前年比で見ても増えている(45.7%→57.1%)。SIEM(Security Information and Event Management)の導入が進み、効果を出し てきているようだ。ただし発見から収束までの時間は微増ではあるものの伸びており、登坂氏は「セキュリティ被害の重大化が進んでいます」と指摘する。
興味深いのはサイバー保険の加入状況だ。情報漏えいやサイバー攻撃に対応した保険商品がある。サイバー攻撃の被害に遭った場合、漏えいしたデータは戻らないものの、事業停止に伴う利益損失、おわび費用、訴訟対策費用、フォレンジック費用などが保障の対象とされている。基本的には損害保険の一種であり、既存の損害保険の特約となっている形もある。2015年6月に情報処理推進機構(IPA)が実施した調査によると、サイバー保険の認知度は全体の28%でまだ低い。
