IDC Japan株式会社は、2021年1月に実施した、国内企業883社の情報セキュリティ対策の実態調査結果を発表した。
調査対象企業に対して2020年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2019年度(会計年)と比べ「投資を増やす」と回答した企業が31.0%となり、「投資を減らす」と回答した企業14.3%を上回った。ただし、2019年度(会計年)は「投資を増やす」と回答した企業が36.4%で「投資を減らす」と回答した企業9.9%を大きく上回っていた。この結果から2020年度の情報セキュリティ投資は、2019年度と比べ投資意欲は弱まった。
また、2021年度(会計年)の情報セキュリティ投資見込みでは、2020年度を上回るとした企業は全体の30.6%となり、下回ると回答した企業14.9%を上回り、情報セキュリティ投資は増加傾向にあるとしている。
そして、2020年度の情報セキュリティ投資を増やす企業は、ネットワークセキュリティとアイデンティティ/アクセス管理、クラウドセキュリティを投資重点項目としている企業が多いことが判明した。しかし、56.6%の企業では、セキュリティ予算はきめられておらず、計画的なセキュリティ投資がなされておらず、問題が起きてからセキュリティ対策をするのではなく、計画的なセキュリティ投資による対策強化を図っていくことが必要であるとIDCは考えている。
今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など12項目の情報セキュリティ対策について導入状況を聴取している。国内企業におけるセキュリティ対策は外部脅威対策が進んでいるが、情報漏洩対策やデータ管理などの情報ガバナンス強化とコンプライアンス対応への対策は遅れている。
また、クラウドサービスを利用している企業では、クラウド環境でのマルウェア感染とサイバー攻撃によるデータ消失を懸念している企業は多く、それと同じくらい人為的ミスによる情報漏洩を懸念している企業は多い。クラウドサービスの利用においてはポスチャー管理ソリューションなどを導入し、設定ミスなどの人為的なミスを回避する必要があるとIDCは考えている。
直近の1年間でセキュリティ被害に遭った企業は全体の56.3%で、その内42.5%の企業がランサムウェア感染の被害を受けている。ランサムウェアに感染した企業の半数以上がセキュリティベンダーに相談し、暗号化ツールで復旧している。
また、セキュリティシステムでインシデントを検出した企業は5割弱で、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業は2割程度であり、セキュリティシステムだけで全てのインシデントを検出できる状況ではない。
前回調査(2020年1月)と比較すると、セキュリティシステムでインシデントを検出した企業の割合は減少し、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業の割合が増加している。セキュリティ被害が起こることを前提に、被害の発生を早期の検知し対処できるセキュリティ製品の導入と組織体制の構築が被害を最小限に抑える対策になるとIDCは考えている。
また、リモートワークを実施している企業およびリモートワークを検討している企業が懸念しているセキュリティ脅威は、エンドポイントデバイスでのマルウェア感染が最も多く、次いでオンプレミスのIT資産、そしてクラウドサービスへの不正アクセスによる情報漏洩だった。
従来オフィス内で守られていたエンドポイントデバイスや社員が在宅勤務となり、その結果、利用しているエンドポイントデバイスやIT資産にアクセスするユーザーが信用できるデバイスまたは社員であるかどうか、懸念している企業が多いとのことだ。
リモートワークで強化したセキュリティ対策は、半数近くの企業がコンテキストなどによるアクセス管理とEDR(Endpoint Detection and Response)などのエンドポイントセキュリティだった。一方で、データの暗号化や鍵管理、データ検索やデータカテゴリーの分類などを行うeDiscoveryの導入を行った企業は3割未満と少ない。
オンプレミスのIT資産やクラウドサービスの不正アクセスによる情報漏洩を7割ほどの企業が脅威と感じている一方で、データの暗号化や鍵管理、eDiscoveryといったデータセキュリティの強化を図った企業は少なく、企業のデータセキュリティに対する投資優先度が低いことが原因とIDCは考えている。また、今後強化するセキュリティ対策ではあまり差異がなく、リモートワークで今後強化すべき対策がまだ明確になっていないとした。
リモートワークの利用拡大によって、インターネット回線からクラウドサービスを直接利用するユーザーが増え、従来の境界防御中心のセキュリティ対策では防御できなくなり、境界防御に依存しないセキュリティ対策が求められる。
IDC Japan ソフトウェア&セキュリティのリサーチマネージャーである登坂恒夫氏は「企業は境界防御に依存しないセキュリティ対策として、エンドポイントセキュリティやアイデンティティ/アクセス管理、クラウド環境へのセキュリティ、情報漏洩対策といったデータセキュリティなど外部脅威対策だけでなく、内部脅威対策も含めた総合的なセキュリティ対策が必要になる」と述べた。
続けて「企業は、強化すべきセキュリティ対策の優先度を明確化し、計画的にセキュリティ投資によってセキュリティ強化を進めるべきである」と述べている。
無料メルマガ会員に登録しませんか?
IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。
そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。
- DXに関する最新ニュース
- 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
- 実践を重要視する方に聞く、インタビュー記事
- 業務改革に必要なDX手法などDXノウハウ
など、多岐にわたるテーマが配信されております。
また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。
無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。
無料メルマガ会員登録
IoTに関する様々な情報を取材し、皆様にお届けいたします。
