発表によると、今回の調査で明らかになった、企業の情報セキュリティの実態は主に以下の3点。
- 社内CSIRT(Computer Security Incident Response Team)を構築済み企業が全体の4割超
- セキュリティ関連の投資意欲は過去3年で最大、人材は3年連続8割の企業で不足
- 重視するセキュリティ対策として、「スマートデバイスやクラウドサービス利用上のセキュリティ対策・ルール整備」が増加
社内CSIRTを構築済みの企業は昨年から2.2倍増加で、全体の4割超
調査時点で、情報セキュリティ関連事故の対応専門組織であるCSIRTを構築済みであると回答した企業が、昨年度の19.0%から2.2倍の41.8%と大幅な伸びを見せた。
また、CSIRT構築の主な目的として、CISRTを「構築済み」および「構築中」の両回答企業にたずねたところ(複数回答)、「インシデントに対し迅速に対応できる」(60.8%)、「組織としてインシデントに対応できる」(59.7%)、「インシデント対応フローが明確になる」(45.6%)、「インシデント対応のノウハウを集約できる」(32.2%)に回答が集まった。
昨今のサイバー攻撃の高度化、セキュリティ関連事件・事故に関する報道の増加などに加え、CSIRTを多くのメディアが取り上げ、その機能や目的、必要性などが広く認知されたことにより、構築を進める企業が増加したと考えられる。
セキュリティ関連投資意欲は大幅増も、人材は3年連続不足傾向
2014年度の情報セキュリティ関連投資額を前年度より増額すると回答した企業は、全体の31.4%。2012年度は19.6%、2013年度は26.1%と、過去3年で最大となった。
これは、本年度にIEゼロデイ等の脆弱性や、大規模な情報漏えい事故が多数報道され、情報セキュリティへの注目が集まったことに起因すると考えられる。
情報セキュリティ対策に従事する人材について、「不足している」と考える企業が全体の82.9%に上り、3年連続で8割を超えている。不足人材の種類については(複数回答)、「脅威情報の収集・伝達や発生したインシデントに対応する人材」が64.7%、「セキュリティに関する中長期的な戦略・ポリシーを策定する人材」が64.0%、「システムに対する不正な通信やアクセス等を監視する人材」が55.0%と、高度なスキルを持った人材に回答が集中した。
「スマートデバイスやクラウド利用上の対策・ルール整備」重視の企業が増加
2014年度に重視するセキュリティ対策は、昨年3位だった「スマートデバイス利用時のセキュリティ対策・ルール整備」(企業全体の40.0%)が1位となった。また「クラウドサービス利用時のセキュリティ対策・ルール整備」が昨年の6位から4位(24.8%)へと大幅に上昇。
これは、近年のスマートデバイスやクラウドサービスといった新技術を積極的に利活用する攻めの体制が高まり、増大するセキュリティリスクに対応するためのルール整備を行う企業が増加しているためと考えられる。
