Article Detail
IDC Japan、2015年の国内企業の情報セキュリティ対策実態調査結果を発表
2015年 国内企業の情報セキュリティ対策実態調査結果を発表
・2015年度の情報セキュリティ投資は2014年度に続き増加傾向も、投資を増やす企業と抑制する企業とで二極化
・外部脅威対策に比べ内部脅威対策の導入に遅れ。また標的型サイバー攻撃向け非シグネチャ型外部脅威対策を導入している企業は6割程と、導入の進展過程
・被害はPCやサーバーばかりでなくPOSやATMなどの産業機器へ拡大、被害の収束時間は長期化。そして、社外の第三者からの通報による発見が増加
・巧妙化するサイバー攻撃と法規制で経営層でのセキュリティ脅威の可視化が求められる
IT専門調査会社 IDC Japan株式会社(所在地:東京都千代田区九段北1−13−5、代表取締役:竹内正人、Tel代表:03−3556−4760)は、2015年1月に実施した国内企業592社の情報セキュリティ対策の実態調査結果を発表しました。
調査対象企業に対して2014年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2013年度(会計年)と比べ「増加している」と回答した企業が20.6%となり、「減少する」と回答した企業10.0%を上回りました。また、2015年度(会計年)の情報セキュリティ投資見込みでは、2014年度を上回るとした企業は全体の21.0%、「減少する」と回答した企業は9.3%でした。そして、2015年度の情報セキュリティ投資を増やす企業は、モバイルセキュリティ対策を投資重点項目としている企業が多いことが判明しました。しかし、前年度と比べ投資額を減らす企業についてみますと、2014年度では「10%減〜19%減」の回答率が増えています。そして2015年度では、「微減〜9%減」の回答率が増加しています。2015年度の情報セキュリティ投資は、2014年度に続き増加傾向となりますが、セキュリティ脅威の変化に危機感を持って投資を増やす企業と、継続的なセキュリティ投資に対する効果が得にくいことから投資を抑制する企業とで二極化してくるとIDCではみています。
今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねました。情報セキュリティ対策の導入率はファイアウォール/VPN(Virtual Private Network)、PCでのアンチウイルスが7割以上と外部からの脅威管理の導入が進んでいますが、情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れています。また、巧妙化する標的型サイバー攻撃向け外部脅威対策であるサンドボックスエミュレーション技術などを活用した非シグネチャ型脅威対策の導入率は6割程で、導入の進展過程にあるとIDCではみています。
セキュリティ被害では、ウイルス感染被害に遭遇した企業が28.5%で調査項目の中で最も多い結果でした。前回(2014年1月)の調査結果と比較すると、ファイルサーバーやWebアプリケーションサーバー、データベースサーバー、POSサーバー、ATMやキオスク端末などの産業機器でセキュリティ被害を受けたと回答した企業の比率が高まりました。また、セキュリティ被害を発見してからの収束時間は、前回(2014年1月)調査と比較すると「24時間以内」の回答率が減少し、24時間を超えた企業の回答率が増加していることから、収束時間は長期化していると思われます。そして、セキュリティ被害の発見では、前回調査(2014年1月)と比較すると、「社員からの報告」と「顧客やパートナーからの通報もしくは連絡」の回答率は減少し、「第三者からの通報」の回答率は増加しました。このようにセキュリティ被害に遭遇する資産は拡大し、セキュリティ被害が表面化し第三者から通報によって発見されるケースが多くなっていることから、セキュリティインシデントの重大化が進んでいるとIDCでは考えています。
国内ではサイバーセキュリティ基本法の施行やマイナンバー制度の開始、個人情報保護法の改定といった国政施策が具体的に始まります。サイバーセキュリティ基本法では、重要社会基盤事業者(重要インフラ事業者)やサイバー関連事業者の責務として、サイバーセキュリティに関する取り組みへの自主努力と国または地方自治体への協力が求められます。その他一般企業に対しても、自発的なサイバーセキュリティへの取り組みを求めています。また、マイナンバー制度に伴って施行された「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法)では、すべての企業が「マイナンバー」あるいはデータベース化された「マイナンバー」に対して規定された安全管理措置を講じることが義務付けられています。そして改定される個人情報保護法では、取り扱う個人情報が少ない企業も個人情報保護法の対象に加えています。さらに、企業で発生するセキュリティインシデントは、巧妙な攻撃手法によって潜在化し、さらに攻撃対象の拡大で発生するインシデント量は増大することで、表面化した時点では事業継続に重大な影響を及ぼす脅威となっています。「企業経営を判断する経営層は、自らセキュリティインシデントの重大性を把握し、迅速な判断を下す必要があり、経営層でのセキュリティ脅威の可視化が求められる。経営層でセキュリティ脅威を可視化するに当たっては、重大化したインシデントを企業のガバナンス/リスク/コンプライアンスに紐付けて、企業におけるリスク度合いを可視化することが重要である」とIDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂 恒夫は述べています。
今回の発表はIDCが発行した「2015年 国内情報セキュリティユーザー調査:企業における対策の現状」(J15240103)にその詳細が報告されています。本調査レポートでは、2015年1月15日〜19日に実施した情報セキュリティ対策の導入実態調査の結果に基づき、国内の企業(官公庁を含む)の情報セキュリティ対策の導入実態と今後の方向性について分析を行っています。調査内容には、情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策に代表されるコンプライアンス強化への企業の取り組みなどが含まれます。
【レポートの詳細についてはIDC Japanへお問い合わせください】
<参考資料>
情報セキュリティ関連投資の増減比較
※添付の関連資料を参照
「IDC社 概要」
International Data Corporation(IDC)は、ITおよび通信分野に関する調査・分析、アドバイザリーサービス、イベントを提供するグローバル企業です。50年以上にわたり、IDCは、世界中の企業経営者、IT専門家、機関投資家に、テクノロジー導入や経営戦略策定などの意思決定を行う上で不可欠な、客観的な情報やコンサルティングを提供してきました。
現在、110か国以上を対象として、1,100人を超えるアナリストが、世界規模、地域別、国別での市場動向の調査・分析および市場予測を行っています。
IDCは世界をリードするテクノロジーメディア(出版)、調査会社、イベントを擁するIDG(インターナショナル・データ・グループ)の系列会社です。
*記載されている全ての会社名、製品名は各社の商標、または登録商標です。
■一般の方のお問い合わせ先
IDC Japan(株) セールス
Tel:03−3556−4761
Fax:03−3556−4771
E−Mail:jp-sales@idcjapan.co.jp
URL:http://www.idcjapan.co.jp
