IDC Japanが4月9日に発表した「2021年 国内企業の情報セキュリティ実態調査結果」によると、国内企業の2020年度における情報セキュリティ投資状況は、2019年度と比べ「投資を増やす」と回答した企業が31.0%だったことが分かった。また、「投資を減らす」と回答した企業14.3%を上回ったが、投資意欲は2019年度と比べて弱まっているという。
同調査は、同社が2021年1月に実施したものであり、有効回答数は883社。
投資を増やす企業の比率と減らす企業の比率の差(DI値)を見ると、2020年度は+16.7(増加31.0-減少14.3)であり、2019年度の+26.5(増加36.4-減少9.9)を下回る。2021年度の投資見込みでは、2020年度を上回るという企業は全体の30.6%で、下回るという企業の14.9%を上回り、情報セキュリティ投資は増加傾向にある。
2020年度の情報セキュリティ投資を増やす企業は、ネットワークセキュリティとアイデンティティ/アクセス管理、クラウドセキュリティを投資重点項目とする企業が多いという。
しかし、56.6%の企業ではセキュリティ予算を決めておらず、計画的なセキュリティ投資をしていないのが実状だ。問題が起きてからセキュリティ対策をするのではなく、計画的なセキュリティ投資による対策強化を図っていくことが必要だと同社は考えている。
情報セキュリティ対策の導入状況では、外部脅威対策が進んでいるものの、情報漏洩対策やデータ管理などの情報ガバナンス強化とコンプライアンス対応への対策は遅れているという。また、クラウドサービスを利用している場合、クラウド環境でのマルウェア感染とサイバー攻撃によるデータ消失を懸念する企業が多く、それと同程度に人為的ミスによる情報漏洩を懸念する企業が多いとのこと。
クラウドサービスの利用においては、ポスチャー管理ソリューションなどを導入して設定ミスなどの人為的なミスを回避する必要があると同社は指摘している。セキュリティ被害の遭遇状況を見ると、直近の1年間で被害に遭った企業は全体の56.3%で、うち42.5%がランサムウェア感染の被害を受けている。
また、セキュリティシステムでインシデントを検出した企業は5割弱で、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業は2割程度だった。セキュリティ被害が起こることを前提に、被害の発生を早期の検知し対処できるセキュリティ製品の導入と組織体制の構築が被害を最小限に抑える対策になると、同社は提言する。
リモートワークを「実施している」もしくは「検討している」企業が懸念しているセキュリティの脅威は、エンドポイントデバイスでのマルウェア感染が最も多く、これに「オンプレミスのIT資産」「クラウドサービスへの不正アクセスによる情報漏洩」が続いている。
リモートワークで強化したセキュリティ対策は、半数近くの企業がコンテキストなどによるアクセス管理とEDR(Endpoint Detection and Response)などのエンドポイントセキュリティだった一方で、データの暗号化や鍵管理、データ検索やデータカテゴリーの分類などを行うeDiscoveryの導入を行った企業は3割未満にすぎない。
データセキュリティの強化を図った企業は少なく、企業の投資優先度の低さが原因と同社は見ている。また、今後強化するセキュリティ対策ではあまり差異がなく、リモートワークで今後強化すべき対策がまだ明確になっていないと同社は推測している。
同社は、リモートワークの利用拡大によりインターネット回線からクラウドサービスを直接利用するユーザーが増え、従来の境界防御中心のセキュリティ対策では防御できなくなり、境界防御に依存しないセキュリティ対策が求められるという。