IDC、2019年度情報セキュリティ対策投資額は前年度と変わらない企業が6割と発表

IDC Japan株式会社は、2019年4月に実施した、国内ユーザー企業829社の情報セキュリティ対策の実態調査結果を発表した。

2019年度（会計年）の情報セキュリティ投資（新規導入／既存強化）を増加する企業は、対策項目として、エンドポイント対策、Webセキュリティ、ネットワークの順で多いことが判明した。また約6割の企業では、セキュリティ予算は決められておらず、投資額は前年度と変わらないと回答した。

さらに、2020年に開催される東京オリンピック／パラリンピックに向けたセキュリティ対策状況に関しては、「実施した（8.9％）」、「これから実施する計画がある（18.1％）」となり、対策項目は、ウイルス対策、メッセージセキュリティ、Webセキュリティの順で、既存対策を強化する企業が多い結果となった。

今回の調査では、新たにCSIRTおよびSOCの設置状況について尋ねており、3,000人以上の企業ではいずれも50％近くの設置状況であり、セキュリティ体制の強化が従業員数に比例する傾向が見られた。

懸念するセキュリティ脅威と、セキュリティ導入の際の課題については、リスクゼロにすることが難しい「未知のマルウェアやゼロデイ攻撃」で59.4％、「部内者の人的ミスによるインシデント」で54.6％の企業が脅威と回答した。セキュリティ導入の際の課題は、「予算の確保」、「導入効果の測定が困難」と回答した企業が多く、投資対効果を経営層から求められる為、課題として顕在化している企業が多いとIDCでは考えている。

過去1年間でセキュリティ被害に遭った企業は、全体の14.2％で前回（2018年1月）とほぼ同じであったが、ランサムウェア感染の被害は前年よりも2ポイント減少し、約8％の企業が被害を受けている。

重大なセキュリティ被害に遭った企業は25.2％で前回調査の26.7％から微減、さらに復旧や賠償金などにかかった費用は、500万円未満、500～1,000万以上と回答した企業はそれぞれ37.3％（1.8ポイント増）、15.8％（5.7ポイント増）だった。このことから、1件当たりの被害額は増加傾向であると考えられる。

SaaS型クラウドアプリケーション対策は23.5％、IaaS／PaaS等の仮想OSのセキュリティ対策は23.4％の導入状況で、インフラやアプリケーションのクラウド移行が進み、利用の可視化やデータ保護対策としてクラウドのセキュリティ対策製品の導入が高まっている。また、サイバーレジリエンス向上のため、エンドポイントでの不審な挙動の検出と調査をおこなうツールとして、EDR製品、MDRサービスの利用は23.4％と堅調だった。

統合管理をおこなうオーケストレーション製品やサービス（13.3％）、AIや機械学習を用いた自動化（10.3％）は、インシデントレスポンスの迅速化とセキュリティ人材が不足している企業からの期待もあり、今後の成長が見込まれている。

施行から1年が経過したEU一般データ保護規則（GDPR）について、EU圏でビジネスを行っている企業では85.5％の高い認知度となった。既に対策済みの企業は47.3％、計画が具体的にあると回答した企業を含めると約85％であり、施行前の前回調査と比較すると、約38ポイント増加している。

EU GDPRに対する重点的投資項目では、EU圏でビジネスを行っている企業は、アプリケーションの特定（57.4％）、データの評価と分類（50.4％）において半数を超えており、ビジネスを行っていない企業とのポイント差が大きい結果となった。一方で、EU圏でビジネスを行っていない企業では、社内教育（38.4％）を重点項目とする企業が最も多い結果となっている。

重大な課題は、RTBF（忘れられる権利）／削除する権利が、EU圏でビジネスを行っている企業では最も多く50.4％、行っていない企業28.9％と差異が21.5ポイントと最大の項目であった。