企業はサイバー攻撃を防御するために何をすべきか?

IDC Japanは4月14日、2016年1月に実施した国内企業688社の情報セキュリティ対策の実態調査結果を発表した。この調査結果からどのような国内企業の実態が浮き彫りになったのか、国内企業はこの調査結果から何を学ぶべきなのか、本稿では探ってみたい。

CIO/CSOを設置している企業の割合は?

ソフトウェア＆セキュリティ リサーチマネージャーの登坂恒夫氏は、企業の情報セキュリティ対策を考えるうえで、重要なトピックとしてCIO(Chief Information Officer)/CSO(Chief Security Officer)の設置、経営者への報告状況を挙げた。

経済産業省が昨年12月、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進することを目的として、「サイバーセキュリティ経営ガイドライン」を公開している。同ガイドラインでは、サイバー攻撃から企業を守るため、経営者が認識する必要がある3原則などをまとめている。

調査の結果、CIO/CSOを設置している企業は全体の44.3%で、経営者に対する報告は半数近くが少なくとも1回は実施していることがわかった。従業員規模が大きいほど、CIO/CSOを設置している企業が多く、経営者に対して定期的に報告している企業も多くなっている。

企業はセキュリティ投資をどう考えているか?

情報セキュリティへの投資について、2015年度（会計年）の増減率を調査した結果、2014年度（会計年）と比べ「増加している」と回答した企業が27.2％となり、「減少する」と回答した企業（10.5％）を上回った。

一方、登坂氏は「6割超の企業でセキュリティ投資額に変化は見られず、35.8%の企業は投資を具体的に計画していない」としている点を挙げ、多くの企業が前年度と同額の予算を確保しながら具体的な投資計画を持たず、既存の対策に投資していることがうかがえると指摘した。

また、昨年の結果と比べると、モバイルデバイスへのセキュリティ投資を増やすと回答した企業が減ったという。登坂氏は、その理由について、「2015年は大規模な標的型攻撃など、さまざまなセキュリティ事故が発生したことから、危機感が出てきて、脆弱性管理への投資を増やすという意向につながったのでは」との推測を示した。

セキュリティ被害の収束時間が長期化する現状

過去1年間で遭遇したセキュリティ被害は、前回（2015年1月）の調査結果と比べると、ウイルス感染被害が減少したことに対し、サーバへの不正侵入や情報漏洩被害が増加したことが明らかになった。

被害を受けた資産は、クライアントPCが減少したが、それ以外の資産は被害が増加しており、被害を受ける資産が広がっていることがわかった。登坂氏によると、スマートフォンなどのモバイルデバイスやPBXは被害が少ないため、「その他」に含まれているという。

セキュリティ被害の発見方法については、セキュリティシステムによるインシデント検出が最も多く、57.1%と半数以上の企業がセキュリティシステムを活用している結果が出た。これには、企業でログを管理するシステムの導入が増えているという背景があるようだ。

さらに、登坂氏は「社員からの報告が減少しているのに対し、顧客、パートナー、第三者などの外部からの通報が増えている」ことを指摘した。このことは、セキュリティ被害の収束時間の長期化に影響を及ぼしている。というのも、外部からの通報を受けて、被害を知ると、まずはその状態を把握するために時間がかかり、そこから対策を講じることになるからだ。

「24時間以内に収束した」と回答した企業が、前回の調査は55.9%だったのに対し、今回は52.2%に減少している。対する「1週間以内」「1カ月以内」「1年未満」という回答はいずれも増加している。登坂氏によると、セキュリティ被害の収束時間は2014年度から2015年度にかけても伸びており、年々、長期化が進んでいることになる。