EnterpriseZineニュース

企業の情報セキュリティ対策、多くの企業は明確なセキュリティ予算を持たず戦略的投資がされていない――IDC発表

2018/05/15 15:30

通知

2018年度の情報セキュリティ投資は2017年度に続き増加傾向だが

　発表によると、2018年度の情報セキュリティ投資を増やす企業は、ネットワークセキュリティを投資重点項目としている企業が多いことが判明した。しかし、約6割の企業では、セキュリティ予算は決められておらず、投資額は前年度と変わらないと回答している。

　また、セキュリティ人員に対して、6割以上の企業が既存の人員で十分と思っており、TCOの観点から人員を配備している企業は2割に満たない状況が判明した。2018年度の情報セキュリティ投資は、2017年度に続き増加傾向だが、まだ多くの企業は明確なセキュリティ予算を持たず、戦略的なセキュリティ投資がなされていないとIDCは考えている。

　今回の調査では、脅威管理、アイデンティティ／アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねた。国内企業におけるセキュリティ対策の導入は外部からの脅威管理の導入が進んでいるが、内部脅威対策の導入は遅れている。また、ネットワークセキュリティとアイデンティティ／アクセス管理では、オンプレミスの導入よりクラウドサービスの利用を検討している企業が多いことが判明した。

　この1年間でセキュリティ被害に遭った企業は全体の14.2％で、1割近くの企業がランサムウェア感染の被害を受けている。前回（2017年1月）の調査結果と比較すると、セキュリティシステムの検知による発見が10ポイント以上増加した。そして、発見してからの収束時間は、24時間以内と回答した企業は59.1％と前回調査の49.5％から増加しており、収束時間が短くなった。

　そして、重大なセキュリティ被害に遭った企業は26.7％で前回調査の29.4％から減少し、さらに復旧や賠償金などにかかった費用が500万円以上と回答した企業は64.5％で前回調査の65.2％から減っている。非シグネチャ型検出技術による多層防御製品やセキュリティインシデントを分析するSIEM（セキュリティ情報／イベント管理）製品など、最新技術を活用したセキュリティ製品市場に投入され、導入されてきていることで、重大化するセキュリティ被害を早期に検出できていることが影響しているとIDCではみている。

EU一般データ保護規則（GDPR）を知っている企業は国内企業全体では半数以下

　また、2018年5月25日に施行されるEU一般データ保護規則（GDPR）を知っている企業は、EU圏でビジネスを行っている企業では9割と認知度が高いが、既に対策済みの企業は2割未満で対策が遅れている。一方、国内企業全体で調査すると、過半数の企業がEU GDPRを知らなかった。EU GDPRに対する重大な課題として、EU圏でビジネスを行っている企業はRTBF（Right To Be Forgotten：忘れられる権利）／削除する権利が、EU圏でビジネスを行っていない企業ではデータの暗号化および（または）匿名化が、最も多い結果となった。

　EU GDPRは、EU域外に拠点のある企業であってもEU域内の「個人データ」を扱う限り適用され、違反すれば巨額の罰金が企業に科せられる。情報漏洩した場合は、72時間以内の報告義務が課せられている。EU GDPRでは、「Data protection by design and by default」が明記されており、システム設計の段階からデータ保護が考慮され、ビジネスプロセス上でデフォルトとしてデータ保護プロセスが導入されていることが求められる。

　悪用される恐れのある個人情報の保護を目的とした法案やガイドラインの作成では、パーソナルデータの収集と収集した目的、所有者からの同意、内容の正確さと訂正、データの保護と保管、データの移行と公開、そしてデータの破棄といった、個人情報保護に関するデータライフサイクル管理の原則が導入されている。

　IDC Japanソフトウェア＆セキュリティのリサーチマネージャーである登坂恒夫氏は「ユーザー企業においても、個人情報保護に関するデータライフサイクル管理の原則を行う必要がある。そして、このデータライフサイクル管理はビジネスプロセスに組み込まれて展開されることが重要である」と述べている。

参考資料：2012年度（会計年）～2018年度（会計年）の情報セキュリティ関連投資の前年度と比較した増減率
（作成：IDC Japan）

　今回の発表は、IDCが発行したレポート「2018年国内情報セキュリティユーザー調査：企業における対策の現状」にその詳細が報告されている。調査レポートでは、2018年1月18日～28日に実施した情報セキュリティ対策の導入実態調査の結果に基づき、国内の企業（官公庁を含む）の情報セキュリティ対策の導入実態と今後の方向性について分析を行っている。調査内容には、情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策に代表されるコンプライアンス強化への企業の取り組みなどが含まれている。

この記事は参考になりましたか？

印刷用を表示

関連リンク: ニュースリリース

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事