EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

  セキュリティ投資意欲は過去5年で最高、社内セキュリティ人材の不足など懸念も-NRIセキュア調査

  2014/01/27 20:00

 NRIセキュアテクノロジーズは1月27日、「企業における情報セキュリティ実態調査 2013」の結果を発表した。調査は東証1部・2部企業3000社を対象に毎年実施しているもので今回で12回目。情報セキュリティ投資を「10%以上増やす」と回答した企業が全体の26.7%に達するなど、投資意欲は過去5年で最大となり、リーマンショック前の水準に向けて回復しつつある。調査は、昨年8~10月に実施され、685社が回答。2月中旬に冊子版を刊行する予定になっている。

セキュリティ投資意欲は過去5年で最高

  NRIセキュアテクノロジーズ ストラテジーコンサルティング部 部長の足立道拡氏
NRIセキュアテクノロジーズ 
ストラテジーコンサルティング部
部長 足立道拡氏

 ストラテジーコンサルティング部 部長の足立道拡氏と、セキュリティコンサルタントの赤坂雄大氏によると、調査は定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を設定。それへの回答を「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス」の5つの観点で分析した。

 まず、予算については、情報セキュリティ関連投資の増額を予定している企業が過去5年間で最も多いという結果になった。情報セキュリティ関連投資額を2012年度より「10%以上増やす」とした企業は、2012年の20.1%から26.7%に上昇。一方、同投資額を「10%以上減らす」企業は、7.5%と最少となった。「企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかった」としている。

  NRIセキュアテクノロジーズ セキュリティコンサルタントの赤坂雄大氏
NRIセキュアテクノロジーズ 
セキュリティコンサルタント 赤坂雄大氏

 人材については、情報セキュリティ対策に従事する人材が充足しているかどうか、不足している場合はその理由を聞いた。それによると「不足している」と考える企業は、全体の84.8%に上った。「不足している」と回答した企業の理由は、回答の多い順に「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%となるなど「業務量とスキルの両面で人材不足が顕在化した」という。

 また、企業が重視する情報セキュリティ対策では、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、昨年1位の「事業継続計画、IT-BCPの策定と改善」(今年度は42.3%で2位)と昨年2位の「スマートデバイス利用時のセキュリティ対策・ルール整備」(今年度は38.6%で3位)を越え、1位にランクした。「育成・教育といった人材への投資に、注目が集まっている状況」だという。

 3つめのグローバル統制については、国内拠点と海外拠点とでセキュリティ統制に大きな差異があることがわかった。具体的には、セキュリティ統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となった。海外拠点では、「現地のセキュリティ意識が低い」が60%、「拠点担当が兼務のため、セキュリティ業務がおろそかになりがち」が54.7%と高く、「セキュリティ対策の具体的な推進方法で悩みが多い」という。

 4つめのモバイル・クラウドは、BYOD(Bring Your Own Device)やクラウド利用が進んでいる状況が明らかになった。BYODについては「開始する目途がある」とする企業の比率は2012年度調査の5.7%から15.0%に拡大した。また、クラウドサービス(ファイルサーバ、ウェブメール、CRMなどの個人情報・機密情報を取り扱うクラウドサービス)を「業務利用している」企業は、2012年度の38.3%から48.1%へと上昇した。

 2012年度が0.0%だった電力・運輸エネルギーが22.6%に、同4.9%だった小売が24.1%になるなど、「これまで導入実績が少なかった業界においてもBYOD導入が浸透してきている」とした。なお、クラウドサービスについては「海外への情報保存を認めている企業」が29.3%ある一方、保存のための「ルールを定められていない企業」が22.8%に達するなど、「ルールが定められていないために意図せずに海外でデータが搾取されている危険性もある」と指摘した。

 5つめのインシデントレスポンスについては、「標的型攻撃を経験したことがある」と回答した企業が全体の20.7%に達し、そのうち「過去1年以内に標的型攻撃を経験」した企業は82.9%に上るという実態が明らかになった。実際に被害が発生した企業についても、30.7%に達した。その一方で、社内CSIRT(インシデントレスポンスチーム)を設置する動きも進んでいる。22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5