ニュース

国内企業の情報セキュリティ投資、2020年度に「投資を増やす」と回答した企業は38%~IDC Japan

 IDC Japan株式会社は7日、2020年1月に実施した、国内企業878社の情報セキュリティ対策の実態調査結果を発表した。

 2019年度(会計年)の情報セキュリティ投資については、2018年度と比べて「投資を増やす」と回答した企業が36%、「投資を減らす」と回答した企業が10%。2020年度の情報セキュリティ投資見込みでは、2019年度を上回るとした企業が全体の38%、下回ると回答した企業が9%となった。

2013年度(会計年)~2020年度(会計年)の前年度に対する情報セキュリティ投資増減率(出典:IDC Japan)

 2020年度に情報セキュリティ投資を増やすと回答した企業では、ネットワークセキュリティとアイデンティティ/アクセス管理、クラウドセキュリティを投資重点項目としている企業が多かった。しかし、6割近くの企業では、セキュリティ予算は決められておらず、計画的なセキュリティ投資がなされていないという。

 IDC Japanでは、セキュリティ部門の幹部がリーダーシップを持ち、経営層がセキュリティに対して積極的に関わっている企業ほど、セキュリティ投資は予算化されていると指摘。経営層が自社のセキュリティ対策に積極的に関わる企業ほどセキュリティ予算をしっかりと確保しており、セキュリティ責任者は経営層にセキュリティ対策の現状を理解させることが必要であるとしている。

 調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など、12項目の情報セキュリティ対策について導入状況を尋ねている。国内企業におけるセキュリティ対策の導入状況としては、外部からの脅威管理の導入が進んでいるが、情報漏えい対策やデータ管理など情報ガバナンス対策の導入は遅れているという。

 また、クラウドサービスを利用している企業では、クラウド環境でのマルウェア感染とサイバー攻撃によるシステム破壊やデータ消失を懸念している企業は多いが、3~4割の企業はクラウド環境でのデータの暗号鍵管理やバックアップをサービス提供事業者に任せていると指摘。クラウドサービスの利用においては、サービス提供事業者とのセキュリティ対策の責任分担を明確にし、暗号化鍵管理やバックアップといったデータの取り扱いについてはユーザー企業でも責任を持って運用管理することが必要だとしている。

 セキュリティ被害の状況については、直近の1年間でセキュリティ被害に遭った企業は全体の54%で、その内42%の企業がランサムウェア感染の被害を受けており、ランサムウェアに感染した企業の半数以上が、バックアップファイルもしくはセキュリティベンダーからの暗号化ツールの入手で復旧しているという。

 また、セキュリティシステムでインシデントを検出した企業は半数ほど、顧客やパートナーからの通報によってインシデントを発見した企業は2割程度となっており、セキュリティシステムだけですべてのインシデントを検出できる状況ではないと指摘。また、前回調査(2019年4月)と比較すると、セキュリティ被害を発見してから収束するまでの時間は長期化し、復旧や賠償金などにかかった費用は増加しており、セキュリティ被害が起こることを前提に、被害の発生を早期に検知して対処できるセキュリティ製品の導入と組織体制の構築が、被害を最小限に抑える対策になるとしている。

 また、直近1年間に発生したインシデント件数と、セキュリティ投資金額および前年度に対する2020年度のセキュリティ投資増減の分析を行った結果では、インシデント件数の多い企業ほどセキュリティ投資金額が大きく投資意欲が高いが、件数が少ない企業ではセキュリティ投資金額が小さく投資意欲も低いという。

 インシデント件数の多い企業は、セキュリティ投資金額の大きい企業が多く、先進的なセキュリティシステムの導入によって早期にインシデントを検出できるため、インシデント件数は増加し、そのインシデントを封じ込めるためにセキュリティ投資を増やす傾向が強いと思われると説明。一方で、インシデント件数が少ない企業は、セキュリティ投資金額が小さく、先進的なセキュリティシステムの導入がなされていない企業が多く、インシデントが潜在化している恐れがあると考えられるとしている。

 IDC Japanソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「インシデント件数が少なくても、先進的なセキュリティシステムを導入しインシデントを洗い出し、そしてリスクアセスメントなどによって脆弱な部分を特定し、脆弱性を早期に無くしていくことが重要であり、セキュリティ投資は脆弱な部分を減らしリスク低減していくことに投資していくべきである」と述べている。