IDC Japanは6月12日、「2019年 国内企業の情報セキュリティ対策 実態調査結果」を発表した。これによると、2019年度の情報セキュリティ投資(新規導入/既存強化)を増加する企業は、エンドポイント対策、Webセキュリティ、ネットワークの順で多かった。また、約6割の企業ではセキュリティ予算は決めておらず、投資額は前年度と変わらないという。

  • 情報セキュリティ関連投資の対前年度増減率

    情報セキュリティ関連投資の対前年度増減率

同調査は同社が2019年4月に国内ユーザー企業を対象に実施し、有効回答数は829社。2020年に開催予定の東京オリンピック/パラリンピックに向けたセキュリティ対策状況について尋ねたところ「実施した」が8.9%、「これから実施する計画がある」が18.1%であり、対策項目はウイルス対策、メッセージセキュリティ、Webセキュリティの順で、既存対策を強化する企業が多い結果になった。

今回の調査では、新たにCSIRTおよびSOCの設置状況について尋ねている。従業員3000人以上の企業ではいずれも50%近くの設置状況であり、セキュリティ体制の強化が従業員数に比例する傾向が見られたという。

懸念するセキュリティ脅威とセキュリティ導入の際の課題については、リスクゼロにすることが難しい「未知のマルウェアやゼロデイ攻撃」で59.4%、「部内者の人的ミスによるインシデント」で54.6%の企業が脅威と回答している。

セキュリティ導入の際の課題は「予算の確保」「導入効果の測定が困難」と回答した企業が多く、投資対効果を経営層から求められるため、課題として顕在化している企業が多いという。過去1年間でセキュリティ被害に遭った企業は全体の14.2%で、2018年1月に実施した前回調査とほぼ同じだったが、ランサムウェア感染の被害は前年よりも2ポイント減少し、約8%の企業が被害を受けている。

重大なセキュリティ被害に遭った企業は25.2%で前回調査の26.7%から微減、さらに復旧や賠償金などにかかった費用について、500万円未満と回答した企業が37.3%(1.8ポイント増)、500~1000万以上が15.8%(5.7ポイント増)だった。この結果から、1件当たりの被害額は増加傾向だと指摘。

SaaS型クラウドアプリケーション対策は23.5%、IaaS/PaaS等の仮想OSのセキュリティ対策は23.4%の導入状況であり、インフラやアプリケーションのクラウド移行が進み、利用の可視化やデータ保護対策としてクラウドのセキュリティ対策製品の導入が高まってきている。

また、サイバーレジリエンス向上のためエンドポイントでの不審な挙動の検出と調査を行うツールとして、EDR(Endpoint Detection and Response)製品やMDR(Managed Detection and Response)サービスの利用は23.4%と堅調だった。

統合管理を行うオーケストレーション製品やサービス(13.3%)、AIや機械学習を用いた自動化(10.3%)は、インシデントレスポンスの迅速化とセキュリティ人材が不足している企業からの期待もあり、今後の成長が見込まれるという。

施行から1年が経過したEU一般データ保護規則(GDPR)について、EU圏でビジネスを行っている企業では85.5%と認知度は高く、すでに対策済みの企業は47.3%、計画が具体的にあると回答した企業を含めると約85%であり、施行前の前回調査と比較し、約38ポイント増加している。

EU GDPRに対する重点的投資項目では、EU圏でビジネスを行っている企業はアプリケーションの特定(57.4%)およびデータの評価と分類(50.4%)において半数を超えており、ビジネスを行っていない企業とのポイント差が大きい結果となった。

一方で、EU圏でビジネスを行っていない企業では社内教育(38.4%)を重点項目とする企業が最も多い。重大な課題として、RTBF(Right To Be Forgotten、忘れられる権利)/削除する権利がEU圏でビジネスを行っている企業では最も多く50.4%、行っていない企業28.9%と差が21.5ポイントと最大の項目だったという。