今後3年間で企業の情報セキュリティ予算は14％増加、ITインフラの複雑化などが理由に～Kaspersky調査

　Kaspersky Labとグローバル調査会社のB2B Internationalは、世界25カ国の企業に勤務する4000人を対象とした、情報セキュリティリスクに関する調査の結果を公表した。

　調査によると、企業のIT予算全体に占める情報セキュリティ支出の割合は、中小企業では18％、大企業では21％。全体としては、今後3年間で情報セキュリティ予算は14％以上増加する見通しとしており、主な要因としては、ITインフラの複雑さを挙げる回答が、中小企業では42％、大企業では48％にも上る。具体的な理由としては、組織内のデバイス数の増大（51％）や、クラウドの利用およびビジネスプロセスの外注化（47％）などが挙げられている。

　また、いずれの規模の企業でも、ITセキュリティの投資利益率（ROI）を組織上層部に対して実証することは難しいとしながらも、対策の重要性を優先しROIにかかわらず情報セキュリティの改善に投資を継続する意向を示しているという。

　日本企業では、自社で過去12カ月間にデータの損失、漏洩、または暴露のインシデントが1～5件発生したという回答が78％（全世界では82％）あった。こうしたインシデントにより、37％の企業が数日の間、業務上不可欠な情報へアクセスできなかったという（全世界では27％）。

　また、1回のセキュリティ侵害によって発生する全世界での平均復旧コストは、中小企業で8万6500ドル、大企業では86万1000ドルに上ると見積もられている。セキュリティ侵害が発見されたタイミングとその復旧コストは、1日以内に発見された場合に比べて1週間以上経過した場合では、中小企業では44％、大企業では27％コストが増加すると見積もられている。いずれの場合でも、復旧にかかるコストは時間が経つほどに増大するため、セキュリティ侵害の速やかな検知が鍵となるとしている。

　最も深刻なセキュリティ侵害で発生した損失は、中小企業と大企業のどちらも頻繁に発生するコストは従業員の時間外手当だったが、大企業ではセキュリティトレーニングに7万9000ドル、外部専門家からの支援に8万5000ドルを費やしており、これは損失総額の19％に相当するという。

　サイバー攻撃の経済的影響は、それに対抗するために投入するリソースと関連させて捉えなければならないと指摘。日本企業は、勢いを増す攻撃を前に情報セキュリティの強化の必要性を認識しており、回答者の33％が今後12カ月間で社内ITスタッフと情報セキュリティスタッフを増員するとしている（全世界では29％）。一方で、企業が直面している脅威に関する詳細情報や脅威インテリジェンスを得ようとしていると回答した人は、全世界の17％に対して、日本は8％にとどまっている。

　Kaspersky Labの中小企業向けビジネス部門マーケティング部長、ウラジーミル・ザポリャンスキー氏は、「弊社のグローバル調査によれば、サイバー攻撃による直接的な損失と間接的な損失をすべて考慮した場合、情報セキュリティ予算の平均額は、攻撃2.5回分の『価値』しかありません。企業は日々、何千もの脅威にさらされていますが、効率的なサイバーセキュリティであれば費用に見合った成果が期待できます」とコメント。

　「企業は自社への脅威を明確に理解しており、中小企業に勤務する59％の回答者と大企業の62％が、成果を測る能力の有無に関係なく、セキュリティを強化する予定だと回答しています。調査の結果から、侵害の発生から対応までの時間が、金銭的な損失に直接的な影響を及ぼすことも証明されました。これは予算の増額のみで対処できることではありません。人材やインテリジェンスが必要になるほか、自社の事業を迅速に保護する体制が求められます」と述べている。