ITセキュリティやデータ保護の成熟度で日本は最下位 - EMC調査

EMCジャパンは、ITセキュリティやデータ保護に関するグローバル調査「Global IT Trust Curve Survey」の結果を発表。日本は、ITの成熟度において、世界16カ国中最低になるという衝撃的な結果が明らかになった。

Global IT Trust Curve Surveyは、日本を含む全世界において、10業種の企業IT部門の意思決定者1,600人、ビジネス部門の意思決定者1,600人を対象に実施した調査で、ITセキュリティやデータ保護など、信頼性の高いITインフラに対する取り組みに関して、成熟度を評価したものだ。

継続的な可用性や、高度なセキュリティ対策、統合されたバックアップやリカバリに対する評価などの設問に対して、回答によってポイントを付与。それによって、ITの成熟度を導き出している。

全体的な成熟度分析では、先進的とされる「LEADERS」企業は、全体のわずか8%に留まり、導入済みとなる「ADOPTERS」は36%、評価段階にあるとする「EVALUATORS」は40%、遅れているとする「LAGGARDS」は17%となった(注・四捨五入の関係で合計は100%にはならない)。

この4つの成熟度分類は、「ADOPTERS」と「EVALUATORS」を中心とする緩やかな「山」の形をした分布構成となる。項目別にみると、「継続的な可用性に関する成熟度」の分布は、全体の成熟度と同様の形となるものの、「統合されたバックアップ&リカバリに関する成熟度」では、より緩やかな「丘」のような分布形状に、「先進的なセキュリティに関する成熟度」の分布では、先進企業であるLEADERSと、遅れている企業のLAGGARDSが多いため、波形の分布になるなど、異なる傾向がでていることがわかった。

成熟度が最も高いLEADERSのカテゴリーの企業では、53%の企業がデータ復旧時間は「分、またはそれ以下のレベルである」と回答し、76%の企業が「すべてのインスタンスを通じて失われたデータを100%回復できる」と回答。さらに、成熟度が最も高いセグメントの企業がダウンタイムによって生じた経済的損失は成熟度が最も低い企業の経済的損失の65%に収まっているという結果も明らかになった。

また、LEADERSのカテゴリーに分類される企業のうち、74%がビッグデータおよびアナリティクスを導入しているのに対して、LAGGARDSに分類される企業では8%の企業しか、ビッグデータおよびアナリティクスを導入していないという。

なお、企業あたりの年平均経済的損失額は、セキュリティ違反が86万0273ドル、データロスでは58万5892ドル、ダウンタイムでは49万4037ドルになっているという。

成熟度の国別スコアでは、16カ国中、日本が最下位となる38.8ポイントとなった。最も成熟度が高かったのが中国で65.2ポイント。2位となった米国の61.8ポイントを上回る結果となった。また、米国に次いで3位には南アフリカの60.9ポイントが入り、4位にはブラジルの53.8ポイントが入り、上位4カ国のうち3カ国がBRICSとなった。

日本が最下位となった理由について、EMCジャパンではいくつかの仮説を立てている。

ひとつは、現状のセキュリティ対策に満足しているという点だ。

EMCジャパン マーケティング本部・上原宏本部長は、「サイバー攻撃やバックアップ/リストアの問題が身近ではないということ、ファイヤーウォールや、不正侵入検知、認証などの伝統的なセキュリティ対策で問題がないと考えている点があげられる。セキュリティ対策をやっているつもりになっている部分があるのではないか」と指摘する。

2つめには、投資の優先順位が低いという点である。「日本の企業では、セキュリティやデータ保護は、消極的な投資コストと判断する傾向が強い。売り上げの拡大に直結せず、ROIの算出が難しいセキュリティ対策への投資が後回しになっている」とし、「問題発生時のインパクトに対する認識が甘く、けがをしないとわからないという状況にある」とも分析する。

そして、「日本の企業では、100%侵入防止を目標としているため、常に理想を追い続けている。いたちごっこが続くこの分野においては、実際には100%の侵入防止ができるセキュリティ製品は存在しない。理想を求めすぎることが、スコアが低い原因につながっているのではないか」とする。

セキュリティやデータ保護に対する投資の考え方にも、国ごとに差があるだろうが、日本ならではの完璧主義が、結果として、成熟度が低いという結果につながっている可能性もあるようだ。

別の調査によると、今回の調査では成熟度でナンバーワンになっている中国ではデータバックアップの頻度が1週間を超える企業が大半であったのに対して、日本では1週間以内という企業が大半を占めるという状況もある。こうしたことを考えると、今回の調査だけで、日本のIT成熟度が最下位と理解するのは早計といえそうだ。　

一方、業種別には金融サービス、ライフサイエンス、IT・ハイテクでの成熟度スコアが高く、「規制が厳しい業種ほど、成熟度のレベルが比例して高くなっている」とした。

また、61%の企業が、過去1年以内に、「予期せぬダウンタイム」、「セキュリティ違反」、「データロス」といった危機を体験しており、これにより、45%の企業で従業員の生産性低下が発生し、39%の企業で売り上げの低下が発生。32%の企業で顧客の信頼性の低下という問題が出たという。

さらに、45%の回答者が自社の上級役員が適切なデータ保護やITの可用性、セキュリティが確保されているとは考えていないと回答したという。

EMCジャパン マーケティング本部・上原宏本部長は、「役員層がITを信頼しているとの回答が最も多かったのはドイツで66%を占めたが、日本ではここでも最下位となり31%に留まっている」という。

　 EMCジャパンでは、今回の調査結果をもとに、2つの提言を行っている。

ひとつめは、バックアップの視点からの提言であり、「データ保護の重要性や重複排除技術などの最新テクノロジーの導入が必要である」という点だ。

「データ保護の基本的な考え方は、データを保存するだけでなく、迅速にリストアができてこそ完全な体制が実現される。データの重要度に則したバックアップソリューションを導入することが必要である」とする。

そして、もうひとつはセキュリティ対策の観点からの提言だ。「情報漏洩やなりすまし、アカウントの乗っ取りといった被害は、ブランドの失墜や顧客離れ、取引先からの取引停止など、経営破綻を招くリスクがあるということを熟知する必要がある。日本の企業はこうしたリスクに対する意識が低い」とする。

今回の調査からは、ある意味、日本の企業ならではの「ガラパゴス」ぶりが浮き彫りになったといってもよさそうだ。セキュリティやデータ保護に関して、高い理想を掲げることが、グローバル企業との差になり、それが成熟度が最下位という結果につながったといえるかもしれない。そうした点を考慮すれば、日本のIT成熟度が最下位ということにはならないと思うのだが。