情報セキュリティ投資は増加傾向だが、6割超の企業で変化はみられない
調査対象企業に対して2015年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2014年度(会計年)と比べ「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。
また、2016年度(会計年)の情報セキュリティ投資見込みでは、2015年度を上回るとした企業は全体の27.0%、「減少する」と回答した企業は10.5%だった。そして、2016年度の情報セキュリティ投資を増やす企業は、脆弱性管理とウイルス対策を投資重点項目としている企業が多いことが判明した。
しかし、全体の6割超の企業では、投資額は前年度と変わらないと回答している。そして3割超の企業は、セキュリティ投資を行う項目を具体的に計画していないと回答している。2016年度の情報セキュリティ投資は、2015年度に続き増加傾向だが、まだ多くの企業は前年度と同額の予算で明確な投資計画を持たず、既存のセキュリティ対策への投資を継続しているとIDCではみている。
業種や従業員規模によって、進んでいる企業と遅れている企業とに二極化
今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を調査した。情報セキュリティ対策の導入率は、ファイアウォール/VPN、PCでのアンチウイルスが7割前後と外部からの脅威管理の導入は進んでいるが、情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れている。
業種別では製造や小売/卸売、教育で、従業員規模別では従業員100人未満の企業でセキュリティ対策が遅れている。セキュリティ対策導入の現状は、業種や従業員規模によって、進んでいる企業と遅れている企業とに二極化している。
過去1年間で遭遇したセキュリティ被害は、前回(2015年1月)の調査結果と比較すると、ウイルス感染被害が減少し、サーバーへの不正侵入や情報漏洩被害が増加した。被害を受けた資産では、クライアントPCが減少したものの、それ以外の資産については被害が増加しており、被害を受ける資産が広がっている。
また、半数以上の企業がセキュリティシステムで被害を発見しているが、前回の調査結果と比較すると、顧客やパートナー、第三者からの通報による発見が増加している。そして、発見してからの収束時間は、52.2%の企業が24時間以内と回答しているが、前回の調査では55.9%の企業が24時間以内に収束していたことから、収束時間は長期化している。
サイバー保険への加入率は現時点で約1割、加入予定/検討企業は3~4割
このように、セキュリティ被害に遭遇する資産は拡大し、セキュリティ被害が表面化し第三者から通報によって発見されるケースが多くなっていることから、セキュリティ被害の重大化が進んでいるとIDCでは考えている。
しかし、半数以上の企業はCIO(最高情報責任者)やCSO(最高セキュリティ責任者)を設置していない。経営者へのセキュリティに関する報告は、半数近くの企業が少なくとも四半期に1回は実施しているが、報告していない企業も2割ある。また、CIOやCSOを設置していない企業ほど定期的に報告していない傾向がみられた。
さらに、巧妙化するサイバー攻撃によって重大化するセキュリティ被害への対策として、現在多くの損害保険会社がサイバー保険を提供している。サイバー保険への加入率は現時点で1割程度だが、加入を予定/検討している企業は3~4割と、今後加入率が高まると思われる。また、加入済みもしくは加入を予定/検討している企業の7割以上がサイバー保険加入を個人情報漏洩への対応として考えている。
企業におけるセキュリティ対策への責務は、サイバーセキュリティ基本法やマイナンバー法、個人情報保護法の改正といった法規制によって重くなっている。一方で、テロ事件や内紛など地政学的な分裂と世界経済の不安定化によって、サプライヤーへのサイバー攻撃が頻発し、サプライチェーンリスクが高まっている。しかし、セキュリティ対策の現状は、業種や従業員規模によって対策の導入が進んでいる企業と遅れている企業とに二極化している。
IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「業界内やグループ企業内でのセキュリティ対策レベルを平準化することが必要となっている。その解決策として、業界内やグループ企業内で統一したクラウドによるセキュリティソリューションを導入することも検討すべきである」と述べている。
今回の発表はIDCが発行したレポート「2016年 国内情報セキュリティユーザー調査:企業における対策の現状」にその詳細が報告されている。
