国内企業の情報セキュリティ対策、2016年の投資額は増加傾向だが6割の企業は変化なし～IDC Japan調査

　IDC Japan株式会社は14日、国内企業の情報セキュリティ対策に関する実態調査の結果を発表した。調査時期は2016年1月、調査対象企業は688社。

　2015年度の情報セキュリティ投資の増減率についての調査では、2014年度と比べ「増加している」と回答した企業が27.2％で、「減少する」と回答した企業の10.5％を上回った。また、2016年度の情報セキュリティ投資見込みでも、2015年度を上回るとした企業は全体の27.0％で、「減少する」と回答した企業の10.5％を上回った。

2010年度（会計年）～2016年度（会計年）の情報セキュリティ関連投資の前年度と比較した増減率（出展：IDC Japan）

　2016年度の情報セキュリティ投資を増やすとした企業では、脆弱性管理とウイルス対策を投資重点項目としている企業が多かった一方、全体の6割超の企業では、投資額は前年度と変わらないと回答。3割超の企業では、セキュリティ投資を行う項目を具体的に計画していないと回答している。2016年度の情報セキュリティ投資は、2015年度に続き増加傾向だが、まだ多くの企業は前年度と同額の予算で明確な投資計画を持たず、既存のセキュリティ対策への投資を継続していると分析している。

　また、今回の調査では、脅威管理、アイデンティティ／アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を調査。情報セキュリティ対策の導入率は、ファイアウォール／VPN、PCでのアンチウイルスが7割前後と、外部からの脅威管理の導入は進んでいるが、情報漏えい対策やアイデンティティ／アクセス管理、セキュリティ／脆弱性管理といった内部脅威対策の導入は、外部脅威対策に比べ遅れている。業種別では、製造や小売／卸売、教育で、従業員規模別では従業員100人未満の企業でセキュリティ対策が遅れており、セキュリティ対策導入の現状は、業種や従業員規模によって、進んでいる企業と遅れている企業とに二極化しているとしている。

　過去1年間で遭遇したセキュリティ被害については、前回（2015年1月）の調査結果と比較すると、ウイルス感染被害が減少し、サーバーへの不正侵入や情報漏えい被害が増加。被害を受けた資産では、クライアントPCが減少したものの、それ以外の資産については被害が増加しており、被害を受ける資産が広がっている。

　また、半数以上の企業がセキュリティシステムで被害を発見しているが、前回の調査結果と比較すると、顧客やパートナー、第三者からの通報による発見が増加。発見してからの収束時間は、52.2％の企業が24時間以内と回答しているが、前回の調査では55.9％の企業が24時間以内に収束していたことから、収束時間は長期化していると分析している。

　セキュリティ被害に遭遇する資産は拡大し、セキュリティ被害は表面化して第三者からの通報によって発見されるケースが多くなっていることから、セキュリティ被害の重大化が進んでいると説明。しかし、半数以上の企業はCIO（最高情報責任者）やCSO（最高セキュリティ責任者）を設置しておらず、経営者へのセキュリティに関する報告も、半数近くの企業が少なくとも四半期に1回は実施しているが、報告していない企業も2割あるという。

　セキュリティ被害への対策として、現在多くの損害保険会社がサイバー保険を提供しており、サイバー保険への加入率は現時点で1割程度だが、加入を予定／検討している企業は3～4割あり、加入率は今後高まると思われると説明。加入済みもしくは加入を予定／検討している企業は、7割以上がサイバー保険加入を個人情報漏えいへの対応として考えているという。

　IDC Japan ソフトウェア＆セキュリティ リサーチマネージャーの登坂恒夫氏は、「業界内やグループ企業内でのセキュリティ対策レベルを平準化することが必要となっている。その解決策として、業界内やグループ企業内で統一したクラウドによるセキュリティソリューションを導入することも検討すべきである」と述べている。