日本企業のセキュリティにまつわる予算と人材、対策への取り組みの現状

ExtraHop Networks（以下、ExtraHop）が発表した調査レポート「ExtraHop 2022 Cyber Confidence Index-Asia Pacific（ExtraHopサイバーセキュリティの信頼度指数--アジア太平洋地域 2022年版）」は、オーストラリア、シンガポール、そして日本に拠点を置くさまざまな業界の従業員数50人以上の組織のIT部門の意思決定者300人（各国100人ずつ）を対象に、StollzNow Research社とともに調査したものである。

今回は、同調査の結果から、日本企業の「予算と人材」「対策への取り組みの現状」を明らかにしていく。

企業のセキュリティ対策にかける予算と人材の確保

企業がサイバーセキュリティにかける予算について、日本はしばしば低いといわれているが、本調査でもそれが裏付けられる結果となった。前年度比のサイバーセキュリティ関連予算の増減について、調査対象の3カ国全体の61％が「増額見込み」、36％が「前年並み」、「減額見込み」は3％と回答した。最も投資に積極的な国はシンガポールで、増額見込みと回答したのは70％、前年並みと回答したのは27％となっている。

一方、日本は増額見込みと回答した割合が48％と3カ国の中で最も低く、3カ国全体の割合よりも13ポイント低かった。前年並みという回答は49％と、3カ国中最も高かった。これを「すでに十分な投資によりセキュリティが堅牢になった」と見るか、「これ以上、セキュリティ対策に予算をかけられなくなった」と見るかは微妙なところであるが、年々脅威が深刻化している背景を考えると後者の可能性が高いだろう。

• 2022年のサイバーセキュリティにかける予算　資料：ExtraHop Networks

「社内にサイバーセキュリティの専門チームやスタッフを置いているか」という質問に対しては、「置いている」という回答が3カ国全体で79％と高い結果となっている。大きな差ではないが、ここでもシンガポールが最も高く、日本が最も低い結果となった。

「サイバーセキュリティチームの人材確保は難しいか」という質問においては、日本だけ「難しくない」と答えた回答者が「難しい」と答えた回答者の倍以上という結果となった。セキュリティ人材の定義は決まっていないが、日本では見つけやすいようだ。

この傾向は、「在宅勤務の状況は人材確保に有効な要素となっているか」という質問に対する回答にも現れている。「在宅勤務によりサイバーセキュリティ担当者の採用が容易になる」と回答したのは、シンガポールが77％、オーストラリアが71％であるのに対し、日本は56％にとどまり、「そうではない」の回答は日本が突出して高かった。

日本では、大企業や外資系企業の多くが現在もリモートワークを継続しており、こうした企業はすでに十分なセキュリティ担当者が配置されている。一方、多くの中小企業は緊急事態宣言の解除後、早々にオフィスワークに戻している。日本の大多数を占める中小企業がこうした状況にあるため、そもそもリモートワークの選択肢がなくなっている可能性もある。

従業員のスキルとソーシャル・エンジニアリング攻撃

次に、セキュリティ担当者ではなく従業員に関する質問を見ていく。まず、「従業員はサイバー攻撃を特定できるか」という質問において、「自信がある」（とても自信がある、自信がある）いう回答は、3カ国全体では52％にとどまった。最も高かったのはシンガポールで62％、日本は37％と最も低い結果となっている。

• 従業員のサイバー攻撃の特定能力への自信　資料：ExtraHop Networks

これはソーシャル・エンジニアリング攻撃（フィッシングなどの人をだまそうとする攻撃）に対する特定においても同様で、「自信がある」との回答は3カ国全体で51％、最も高いシンガポールは63％であるのに対し、日本は35％であった。ここでも日本の低さが際立っている。

システムを用いた対策が難しいソーシャル・エンジニアリング攻撃には、個人のリテラシーを向上させるトレーニングが有効となる。調査結果によると、半数以上（58％）がソーシャル・エンジニアリングの認識に関するトレーニングプログラムを実施していることがわかった。特にシンガポールは72％と高い。日本は56％とほぼ3カ国全体の割合とほぼ同じであった。

また、トレーニングプログラムの実施が従業員の攻撃特定の自信を向上させることも明らかになっている。トレーニングプログラムがある場合は、3カ国全体で60％がサイバー攻撃を特定できる自信があり（とても自信がある、自信がある）、トレーニングプログラムがない場合は40％にとどまっていた。

サイバーセキュリティ対策への取り組み状況

2022年度のサイバーセキュリティへの取り組み状況については、ほぼ半数（47％）がソーシャル・エンジニアリング戦略を導入する予定としている。ただし、すでに実施しているのは21％のみである。

シンガポールはソーシャル・エンジニアリング戦略を実施する可能性が高く（57％）、オーストラリアは戦略を実施する可能性は最も低い（36％）が、これはすでに実施している割合は最も高かった（30％）ためと考えられる。日本は、導入予定が47％と3カ国全体の割合と同じであったが、すでに実施していると回答した割合は15％と3カ国全体よりも低い割合となった。

従業員へのサイバー脅威に関するトレーニングでは、ほぼ半数（46％）が実施予定としている。最も割合が高かったのはシンガポールであり、56％がトレーニングを計画している。日本は40％と最も低く、「わからない」という回答も16％と最も高かった。サイバー脅威を特定するスピードについても、49％がスピード向上への取り組みを実施する予定としている。ここでも最高値はシンガポール（59％）、最低値は日本であった（39％）。

• 従業員へのサイバー脅威に関するトレーニングの実施意向　資料：ExtraHop Networks

外部のマネージド・セキュリティ・サービスの利用については、3カ国の結果に大きな違いはなく、40％が「利用予定がある」と回答しており、26％はすでに利用している。ネットワークにおける検知と対応（NDR：Network Detection and Response）のシステム導入も、3カ国の結果に大きな違いはなく、導入意向は42％と高く、導入済みも34％と、NDRソリューションの導入がスタンダードになりつつあることがうかがえる。

専任の社内セキュリティ担当者について、「採用・増員する」という回答はシンガポールが51％と最も多く、日本は30％と最も低かった。しかし、「すでに採用・増員済み」という回答は日本が最も多く（36％、シンガポールは27％）、採用・増員が進んでいることがわかった。

• 専任の社内セキュリティ担当者の採用または増員意向　資料：ExtraHop Networks

今回は、日本企業におけるサイバーセキュリティの予算、人員、対策への取り組みの現状について見てきたが、日本のセキュリティ対策への意識の低さが目立つ結果が多い印象であった。次回は、ランサムウェアをはじめとする脅威・被害状況を紹介する。