日本企業の生成AI導入率は約2割──NRIセキュアが情報セキュリティ実態調査を発表

　NRIセキュアテクノロジーズ（NRIセキュア）は、2023年8月から9月にかけて、日本、アメリカ、オーストラリア3ヵ国の企業計2,783社を対象に、情報セキュリティに関する実態調査を実施した。この調査は、2002年度から実施しており、今回で21回目となるという。

生成AIサービスの導入率が約2割にとどまる日本企業

導入状況

　生成AIサービスの導入状況について、セキュリティルールを「整備の上、導入済み」または「整備していないが導入済み」と回答した割合は、日本では合計18.0％だった（従業員1万人以上の日本企業では50％）。同じ選択肢で比較した結果、アメリカは73.5％、オーストラリアは66.2％と、いずれも日本と比べ生成AIサービスの導入率が高いことがわかる。

　また、日本においては、従業員規模を問わずおよそ1割の企業が「利用禁止のため未導入」と回答しているが、アメリカ0.9％、オーストラリア2.0％と比べ割合が高く、生成AIサービスの導入に対する日本企業の慎重な姿勢がうかがえる。さらに、従業員数が1000人未満の企業では、「不要のため未導入」という回答が半数近くを占めており、生成AIサービスの必要性を感じていない日本企業が多く存在する傾向が見受けられるという。

生成AIサービスの利用に関するセキュリティルール

　生成AIサービスの利用に関するセキュリティルールを「整備の上、導入済み」「整備の上、導入予定」と回答した企業に対して、どのようなルールを整備または整備予定かについて複数回答で尋ねたところ、日本では「機密情報を入力してはいけないルールを定めている」という回答の割合が59.2％と最も多く、アメリカの38.4％、オーストラリアの31.6％を上回った。

　一方、アメリカでは「利用時の承認プロセスを整備している」（61.6％）、オーストラリアでは「定期的に利用しているサービスを確認している」（51.0％）がそれぞれ最も多くなった。今後普及が見込まれる生成AIサービスの利用においては、ユーザーの判断に頼ったルールを整備するだけでなく、監視・統制システムなどの仕組みを用いて利用環境を整えることも重要だとしている。

偽装メール対策「DMARC」の実施率は日本の約1割に対し米・豪では8割台

　DMARCとは、電子メールの送信元ドメインをもとに、正規に送信されたメールであるかどうかを認証する技術のこと。自社ドメインを偽装した悪意のあるメールから受信者を保護することを目的として、全世界で採用が進んでいるという。

　今回の調査では、DMARC実施段階を、「Reject（拒否）／Quarantine（検疫）／None（何もしない）」の3つに分類した上で、「DMARCの実施・検討状況」について尋ねた。その結果、いずれかの形でDMARCを「実施済み」と回答した企業は、日本13.0％、アメリカ81.8％、オーストラリア89.4％で、日本企業のDMARC実施度合いが大幅に低い状況にある。

　企業のDMARC実施割合が高い米・豪においては、政府主導でDMARCの実施が推進されている。日本でも、2023年2月に経済産業省、警察庁および総務省がクレジットカード会社に対して、DMARC実施を要請したほか、同年7月には「政府機関等のサイバーセキュリティ対策のための統一基準群」において、偽装メール対策としてDMARCが明記された。さらに、2023年11月にGoogleから発表された「メール送信者のガイドライン」では、メール送信を行う事業者に対してDMARC対応を求めるなど、今後日本でもDMARC実施が進むと同社はみている。

特定社会基盤事業者に限らず、日本企業の約4割が経済安全保障推進法をうけてセキュリティ強化を意識

　2022年にわが国で成立した経済安全保障推進法に関連して、サイバー分野を含むセキュリティの強化を意識しているかどうかを日本企業に尋ねたところ、「強く意識している」「意識している」と回答した割合は、全体の39.6％となった。

　そのうち、国民生活や経済活動の基盤となるサービスを提供する「特定社会基盤事業者」に指定された企業に絞ると、88.2％の企業（17社中15社）がセキュリティ強化を「強く意識している」「意識している」と回答。全体の傾向と比べると、特定社会基盤事業者は経済安全保障推進法に関連してセキュリティ強化をより意識しているという。

【関連記事】
・NRIセキュア、企業のセキュリティリスクマネジメントを支援するインテリジェンスセンター設立
・NRIセキュア、ソフトウェアサプライチェーン領域のリスク対策を支援するサービス提供
・NRIセキュア、特権ID管理ソリューションの新バージョン（6.1.0）版の提供開始を発表