ニュース

2018年度の情報セキュリティ投資は増加傾向も、多くの企業では戦略的セキュリティ投資がなされていない~IDC Japan調査

 IDC Japan株式会社は15日、国内企業812社を対象に2018年1月に実施した、情報セキュリティ対策の実態調査結果を発表した。

 調査によると、2018年度に情報セキュリティ投資を増やす企業は、ネットワークセキュリティを投資重点項目としている企業が多いが、一方で約6割の企業ではセキュリティ予算は決められておらず、投資額は前年度と変わらないと回答。また、セキュリティ人員に対して、6割以上の企業が既存の人員で十分と思っており、TCOの観点から人員を配備している企業は2割に満たない。

 2018年度の情報セキュリティ投資は、2017年度に続き増加傾向だが、まだ多くの企業は明確なセキュリティ予算を持たず、戦略的なセキュリティ投資がなされていないと分析している。

2012年度(会計年)~2018年度(会計年)の情報セキュリティ関連投資の前年度と比較した増減率(出典:IDC Japan)

 調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねた。国内企業におけるセキュリティ対策の導入は、外部からの脅威管理の導入が進んでいるが、内部脅威対策の導入は遅れており、ネットワークセキュリティとアイデンティティ/アクセス管理では、オンプレミスの導入よりクラウドサービスの利用を検討している企業が多い結果となった。

 この1年間でセキュリティ被害に遭った企業は全体の14.2%で、1割近くの企業がランサムウェア感染の被害を受けている。前回(2017年1月)の調査結果との比較では、セキュリティシステムの検知による発見が10ポイント以上増加しており、発見してからの収束時間についても、24時間以内と回答した企業が59.1%と、前回調査の49.5%から増加しており、収束時間が短くなった。

 重大なセキュリティ被害に遭った企業は26.7%で、前回調査の29.4%から減少。また、復旧や賠償金などにかかった費用が500万円以上と回答した企業は64.5%で、前回調査の65.2%から減少している。

 IDC Japanでは、非シグネチャ型検出技術による多層防御製品や、セキュリティインシデントを分析するSIEM製品など、最新技術を活用したセキュリティ製品が市場に投入され、導入されてきていることで、重大化するセキュリティ被害を早期に検出できていることが影響していると分析している。

 また、5月25日に施行されるEU一般データ保護規則(GDPR)を知っている企業は、EU圏でビジネスを行っている企業では9割と認知度が高いが、既に対策済みの企業は2割未満で、対策が遅れている。一方、国内企業全体で調査すると、過半数の企業がGDPRを知らないと回答。GDPRに対する重大な課題については、EU圏でビジネスを行っている企業ではRTBF(Right To Be Forgotten:忘れられる権利)/削除する権利が最も多く、EU圏でビジネスを行っていない企業ではデータの暗号化および(または)匿名化が最も多い結果となった。

 GDPRでは、「Data protection by design and by default」が明記されており、システム設計の段階からデータ保護が考慮され、ビジネスプロセス上でデフォルトとしてデータ保護プロセスが導入されていることが求められる。IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「ユーザー企業においても、個人情報保護に関するデータライフサイクル管理の原則を行う必要がある。そして、このデータライフサイクル管理はビジネスプロセスに組み込まれて展開されることが重要である」と述べている。