ここから本文です

戦略的投資に程遠い国内企業のセキュリティ実態、「前年度と同じ予算」「既存の人員で十分」が6割――IDC調べ

5/16(水) 15:21配信

ITmedia エンタープライズ

 IDC Japanは2018年5月15日、国内企業の情報セキュリティ対策の実態についての調査結果を発表した。

 同調査は、同年1月に官公庁を含めた国内の企業/組織812社を対象に実施したもので、情報セキュリティ対策の導入実態と今後の方向性について、分析した結果をまとめている。

●セキュリティ予算の確保と戦略的投資に課題

 分析結果によると、2018年度の情報セキュリティ投資を増やす企業は、「ネットワークセキュリティ」を投資の重点項目としている企業が多いことが分かった。

 一方で、約6割の企業がセキュリティ予算を決められておらず、投資額は「前年度と変わらない」と回答。また、セキュリティ人員に対して、6割以上の企業が「既存の人員で十分」と思っており、「TCO(総保有コスト)の観点から人員を配備している」企業は2割に満たない状況が判明した。

 IDCは、2018年度の情報セキュリティ投資は、2017年度に続き増加傾向であるものの、まだ多くの企業は明確なセキュリティ予算を持たず、戦略的なセキュリティ投資がなされていないと指摘する。

●ネットワークセキュリティやアクセス管理にクラウドサービスを検討

 同調査では、情報セキュリティ対策について、「脅威管理」「アイデンティティー/アクセス管理」「セキュアコンテンツ管理」など、15項目の導入状況を確認した。

 その結果、セキュリティ対策の導入実態としては、「外部からの脅威管理」に関する導入は進んでいるが、「内部脅威対策」の導入は遅れていることが判明。

 また、「ネットワークセキュリティ」と「アイデンティティー/アクセス管理」では、オンプレミスの導入より、クラウドサービスの利用を検討している企業が多いことが分かった。

 IDCによると、この1年間でセキュリティ被害に遭った企業は全体の14.2%で、1割近くの企業がランサムウェア感染の被害を受けていた。前回(2017年1月)の調査結果と比較すると、セキュリティシステムの検知による発見が10ポイント以上増加。発見してからの収束時間は、「24時間以内」と回答した企業が59.1%と、前回調査の49.5%から増加しており、収束時間が短くなっている。

 さらに、重大なセキュリティ被害に遭った企業は26.7%で、前回調査の29.4%から減少。復旧や賠償金などにかかった費用が「500万円以上」と回答した企業は64.5%で、前回調査の65.2%から減っていた。

 IDCでは、この状況は、非シグネチャ型検出技術による多層防御製品やセキュリティインシデントを分析するSIEM(セキュリティ情報/イベント管理)製品など、最新技術を活用したセキュリティ製品市場に投入され、導入が進んできたことで重大化するセキュリティ被害を早期に検出できるようになったことが影響しているとみている。

●GDPRを知っている企業は全体の半数以下

 欧州経済領域の個人データ保護を目的に2018年5月25日に施行される「EU 一般データ保護規則(GDPR:General Data Protection Regulation)」について調査したところ、GDPRを「知っている」とした企業は、EU圏でビジネスを行っている企業では9割と、認知度は高かったものの、「既に対策済み」の企業は2割未満で、対策が遅れていることが分かった。

 一方、国内企業全体では、過半数の企業がGDPRを知らなかった。

 GDPRに対する重大な課題としては、EU圏でビジネスを行っている企業では「RTBF(Right To Be Forgotten:忘れられる権利)/削除する権利」が、EU圏でビジネスを行っていない企業では「データの暗号化および(または)匿名化」が、最も多い結果となった。

 GDPRは、EU域外に拠点のある企業でもEU域内の「個人データ」を扱う限り適用され、違反すれば巨額の罰金が企業に科せられる。情報漏えいした場合は72時間以内の報告が義務付けられている。さらに、GDPRでは、「Data protection by design and by default(データ保護・バイ・デザイン/バイ・デフォルト)」が明記されており、システム設計の段階からデータ保護が考慮され、ビジネスプロセス上でデフォルトとしてデータ保護プロセスが導入されていることが求められる。

 悪用される恐れのある個人情報の保護を目的とした法案やガイドラインの作成では、パーソナルデータの収集と収集目的、所有者からの同意、内容の正確さと訂正、データの保護と保管、データの移行と公開、データの破棄といった、個人情報保護に関する「データライフサイクル管理(DLCM:Data Lifecycle Management)」の原則が導入されている。

 IDCでは、ユーザー企業においても、個人情報保護に関するデータライフサイクル管理の原則を行う必要があり、それがビジネスプロセスに組み込まれて展開されることが重要と指摘している。