IT専門調査会社 IDC Japanは、2016年1月に実施した、国内企業688社の情報セキュリティ対策の実態調査結果を発表した。
調査対象企業に対して2015年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2014年度(会計年)と比べ「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。また、2016年度(会計年)の情報セキュリティ投資見込みでは、2015年度を上回るとした企業は全体の27.0%、「減少する」と回答した企業は10.5%だった。
そして、2016年度の情報セキュリティ投資を増やす企業は、脆弱性管理とウイルス対策を投資重点項目としている企業が多いことが判明した。しかし、全体の6割超の企業では、投資額は前年度と変わらないと回答している。そして3割超の企業は、セキュリティ投資を行う項目を具体的に計画していないと回答している。2016年度の情報セキュリティ投資は、2015年度に続き増加傾向ですが、まだ多くの企業は前年度と同額の予算で明確な投資計画を持たず、既存のセキュリティ対策への投資を継続しているとIDCではみているという。
過去1年間で遭遇したセキュリティ被害は、前回(2015年1月)の調査結果と比較すると、ウイルス感染被害が減少し、サーバーへの不正侵入や情報漏洩被害が増加した。被害を受けた資産では、クライアントPCが減少したものの、それ以外の資産については被害が増加しており、被害を受ける資産が広がっている。
また、半数以上の企業がセキュリティシステムで被害を発見しているが、前回の調査結果と比較すると、顧客やパートナー、第三者からの通報による発見が増加しているという。そして発見してからの収束時間は52.2%の企業が24時間以内と回答しているが、前回の調査では55.9%の企業が24時間以内に収束していたことから、収束時間は長期化している。このようにセキュリティ被害に遭遇する資産は拡大し、セキュリティ被害が表面化し第三者から通報によって発見されるケースが多くなっていることから、セキュリティ被害の重大化が進んでいるとIDCでは考えている。
しかし、半数以上の企業はCIO(最高情報責任者)やCSO(最高セキュリティ責任者)を設置していない。経営者へのセキュリティに関する報告は、半数近くの企業が少なくとも四半期に1回は実施しているが、報告していない企業も2割あるという。また、CIOやCSOを設置していない企業ほど定期的に報告していない傾向がみられた。さらに、巧妙化するサイバー攻撃によって重大化するセキュリティ被害への対策として、現在多くの損害保険会社がサイバー保険を提供している。
企業におけるセキュリティ対策への責務は、サイバーセキュリティ基本法やマイナンバー法、個人情報保護法の改正といった法規制によって重くなっている。一方で、テロ事件や内紛など地政学的な分裂と世界経済の不安定化によって、サプライヤーへのサイバー攻撃が頻発し、サプライチェーンリスクが高まっている。しかし、セキュリティ対策の現状は、業種や従業員規模によって対策の導入が進んでいる企業と遅れている企業とに二極化しているとしている。 (編集担当:慶尾六郎)