NRIセキュアテクノロジーズ(NRIセキュア)は1月27日、2013年8月~10月に、東証一部・二部上場企業を中心とする3000社の情報システム・情報セキュリティ担当者を対象とした、「企業における情報セキュリティ実態調査 2013」の結果を発表した。
回答企業数は685社で、定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス」の5つの観点で分析している。
発表によると、「予算」の項目では、2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となった。
一方、同投資額を「10%以上減らす」企業は7.5%と最少となり、これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかった。
「人材」の項目では、情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上った。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化している。
また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となった。
「グローバル統制」の項目では、企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になった。
「モバイル・クラウド」の項目では、個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇した。
「インシデントレスポンス」の項目では、「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」があった。
一方、社内CSIRTの立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加した。
同社では、今回の調査を受けて、国内企業に、「情報セキュリティ複合力」の強化を推奨。「情報セキュリティ複合力」は、情報セキュリティ脅威の高度化・複雑化に伴い、企業内のあらゆるリソースが攻撃対象になっている現在において、今後、企業には「システム・人」、「日本・海外」、「育成・アウトソース」など、相反しうる要素を束ねる能力が求められるとしている。