IDC Japanは4月22日、企業や官公庁における情報セキュリティ対策の実態調査を実施し、その結果を発表した。調査は、1月15日~19日の期間、国内企業592社に実施した。

調査内容は、情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策に代表されるコンプライアンス強化への企業の取り組みなど。同社は、調査結果に基づき、情報セキュリティ対策の導入実態と今後の方向性について分析している。

情報セキュリティへの投資額が2極化

調査結果によると、2014年度(会計年)の情報セキュリティ投資の増減率は、2013年度と比べ「増加している」と回答した企業が20.6%で、「減少する」と回答した企業10.0%を上回った。

また、2015年度の投資見込みでは、2014年度を上回るとした企業が全体の21.0%、「減少する」と回答した企業は9.3%であった。投資を増やすとした企業は、モバイルセキュリティ対策を投資重点項目としている企業が多いことがわかった。

一方で、投資額を減らす企業は、2014年度が「10%減~19%減、2015年度が「微減~9%減」の回答率が多かった。

IDCでは、セキュリティ脅威の変化に危機感を持って投資を増やす企業と、継続的なセキュリティ投資に対する効果が得にくいことから投資を抑制する企業とで二極化すると推測している。

情報セキュリティ関連投資の増減比較

外部脅威対策に比べ内部脅威対策の導入に遅れ

次に、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理などの情報セキュリティ対策について導入状況の結果を見ていこう。

情報セキュリティ対策の導入率は、ファイアウォール/VPN(Virtual Private Network)、PCでのアンチウイルスが7割以上と外部からの脅威管理の導入が進んでいる。一方で情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れている。

また、巧妙化する標的型サイバー攻撃向け外部脅威対策であるサンドボックスエミュレーション技術などを活用した非シグネチャ型脅威対策の導入率は6割程で、導入の進展過程にあるとみている。

被害はPOSやATMなどの産業機器へと拡大

セキュリティ被害では、ウイルス感染被害に遭遇した企業が28.5%で最も多い結果となった。前回(2014年1月)の調査結果と比較すると、ファイルサーバーやWebアプリケーションサーバー、データベースサーバー、POSサーバー、ATMやキオスク端末などの産業機器でセキュリティ被害を受けたと回答した企業の比率が高まっている。

また、セキュリティ被害を発見してからの収束時間は、前回調査と比較すると「24時間以内」の回答率が減少し、24時間を超えた企業の回答率が増加していることから、収束時間は長期化していることが考えられるという。

そして、セキュリティ被害の発見では、前回調査と比較すると、「社員からの報告」と「顧客やパートナーからの通報もしくは連絡」の回答率は減少し、「第三者からの通報」の回答率が増加した。このようにセキュリティ被害に遭遇する資産は拡大し、セキュリティ被害が表面化し第三者から通報によって発見されるケースが多くなっていることから、セキュリティインシデントの重大化が進んでいると考えられるという。

経営層のサイバーセキュリティ脅威の可視化が求められる

国内ではサイバーセキュリティ基本法の施行やマイナンバー制度の開始、個人情報保護法の改定といった国政施策が始まる。サイバーセキュリティ基本法は、重要社会基盤事業者(重要インフラ事業者)やサイバー関連事業者の責務として、サイバーセキュリティに関する取り組みへの自主努力と国または地方自治体への協力が求められている。一般企業に対しても、自発的な取り組みが求められている。

マイナンバー制度に伴って施行された「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)は、すべての企業が「マイナンバー」あるいはデータベース化された「マイナンバー」に対して規定された安全管理措置を講じることが義務付けられている。そして改定される個人情報保護法では、取り扱う個人情報が少ない企業も個人情報保護法の対象に加えている。

さらに、企業で発生するセキュリティインシデントは、巧妙な攻撃手法によって潜在化し、さらに攻撃対象の拡大で発生するインシデント量は増大することで、表面化した時点では事業継続に重大な影響を及ぼす脅威となっている。

同社ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は「企業経営を判断する経営層は、自らセキュリティインシデントの重大性を把握し、迅速な判断を下す必要があり、経営層でのセキュリティ脅威の可視化が求められる。経営層でセキュリティ脅威を可視化するに当たっては、重大化したインシデントを企業のガバナンス/リスク/コンプライアンスに紐付けて、企業におけるリスク度合いを可視化することが重要である」と述べた。