MM総研、米国企業と日本企業の情報セキュリティー対策の実態調査結果を発表

情報セキュリティ対策、日米企業で大きな開き
―大企業６００社調査　被害額減少する米国、拡大する日本―

■なりすまし、ウィルス感染、標的型攻撃など情報セキュリティにかかわる被害額は２０１２年度から２０１３年度にかけて米国企業が５０％減少しているのに対し、日本企業は８３％増加
■２０１４年度の企業１社あたりの情報セキュリティ投資額（計画値）は日本２３億円、米国は３２億円
■専門コンサルタントなどプロフェッショナルサービス活用が米国企業のセキュリティ対策成功のポイント


　企業内部からの情報漏洩や海外からのサイバー攻撃など、公的機関や民間企業の情報システムの防衛が大きな課題になってきている。MM総研（東京都港区、所長・中島　洋）は９月２５日、情報システムの防衛対策で先行している米国企業と日本企業の合計６００社に対して情報セキュリティ対策の実態を調査し、両国の相違点から見えてくる日本企業の課題をまとめた。

　この調査は、従業員数１，０００名以上の日本企業３００法人、米国企業３００法人のセキュリティ担当者にアンケート回答を求め、情報セキュリティ被害の状況や対策状況を分析した。調査結果によると、情報セキュリティ対策で先行する米国企業では２０１２年度から２０１３年度にかけて、ほとんどの主要な手口による被害が減少傾向にあることがわかった。たとえば代表的なサイバー犯罪の一つである「なりすまし」による被害金額は７２％減少した。これに対して、日本企業の「なりすまし」による被害金額は同期間で１４１％増加するなど、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

　＊参考資料は添付の関連資料「参考資料」を参照

　さらに、２０１４年度計画で日本企業の１社あたりのセキュリティ投資額は２３億円と、米国企業に比べ約３割少なく、米国の２０１２年度並みの水準に相当することがわかった。

　米国では外部からの攻撃の対策に成功しつつあり、今後は「内部関係者が係わる被害」に対処するための「出口対策」などが焦点になっている。また、専門家のコンサルティングサービスを活用する企業が多く、日本の約２倍の５１％に達する。「リスク診断・評価」に加えて「セキュリティ対策プラン作成」を利用することで各社に適した対策を効果的に行っている企業が多い。重大なセキュリティ被害を回避し、リスクを軽減するためには、専門コンサルタントなどプロフェッショナルサービスを活用することが重要になる。

■情報セキュリティ被害が拡大する日本企業、被害を減少させている米国企業
　２０１２年度と２０１３年度における日米両国の企業の情報セキュリティ被害の実態を調査した。被害金額は加重平均により算出した１社あたりの平均額で、当該年度において事件・事故が発生し、被害金額が判明している企業の回答を集計した。

　一方の米国企業では、「なりすましによる被害」が１２年度１０億２，１００万円から１３年度２億８，２００万円（７２％減）、「ウィルス感染による被害」が１１億７，１００万円から５億２，１００万円（５６％減）、「標的型攻撃による被害」が６億１，９００万円から４億３００万円（３５％減）となり、主要な手口による被害が減少傾向にあることがわかった。また、「手口はわからない被害」を合わせた平均被害額の合計は、１２年度の１９７億７，９００万円から１３年度９９億６，５００万円（５０％減）に激減している。米国では、特に外部からの攻撃の対策に成功しつつあり、従業員によるデータ紛失や盗難のような内部関係者が係わるセキュリティ対策が今後の課題になっている。

　他方の日本企業では、「なりすましによる被害」が１２年度１０億９，９００万円から１３年度２６億４，６００万円（１４１％増）、「ウィルス感染による被害」が１１億７００万円から２３億６００万円（１０８％増）、「標的型攻撃による被害」が１２億９，５００万円から２２億７，１００万円（７５％増）に増加している。「手口はわからない被害」を合わせた平均被害額の合計は、１２年度の１０６億３，６００万円から１３年度１９５億８００万円（８３％増）に激増。外部からの攻撃の一部を除き、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

■日本のセキュリティ投資は米国より３割少なく、２年遅れの水準

　過去２年間の日米それぞれの企業の１社あたりの情報セキュリティ対策投資額と今年度計画を調べたところ、日本は米国より相対的に少なく、２年遅れの水準にあることがわかった。日米ともに投資額を毎年増やしてきているものの、２０１４年度の日本企業の情報セキュリティ投資額は２３億６，４００万円で、米国企業の３２億９，４００万円より約３割少なく、米国の２年前の水準に相当する。

　今後セキュリティ対策を強化したいと考えている分野を調査した結果、米国企業が最も重視しているのは、「出口対策」で４０．７％、次いで「脆弱性対策」が３７．７％となった。依然として被害を軽減できていない「内部関係者が係わる被害」に対処するための「出口対策」や「脆弱性対策」が重視されている。日本企業では、米国側で軽減されつつある被害を未だ抑え込めていない現実があり、「入口対策」が３０．３％、「システム監視・ログ分析」が２９．３％となった。

　＊参考資料は添付の関連資料「参考資料」を参照

■米国ではセキュリティコンサルティング等のプロフェッショナルサービスを効果的に活用

　米国では、専門家のコンサルティングサービスを利用する企業が日本の約２倍の５１．０％に達する。コンサルティング利用企業が導入しているサービス内容では、「リスク診断・評価」の７９．１％に加えて、「セキュリティ対策プラン作成」が６８．６％で各社に適した対策を行っている企業が多い。今後、日本企業でも情報セキュリティに関するコンサルティング等のプロフェッショナルサービスを効果的に活用するニーズが浮上する可能性がある。

　＊参考資料は添付の関連資料「参考資料」を参照


＜調査概要＞

　１．調査対象：日本法人ユーザー、米国法人ユーザー
　２．回答件数：日本法人（n＝３００）、米国法人（n＝３００）
　※従業員数１，０００名以上の企業に所属するセキュリティ担当者を対象とした。
　※情報セキュリティ対策の状況を把握している担当者が回答。
　３．調査方法：Webアンケート
　４．調査期間：２０１４年８月１９日〜８月２５日