当社で実施した「企業における情報セキュリティ実態調査2019」の結果を、今週よりテーマ毎に公開していきます。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「デジタルセキュリティ*」に関連した調査結果をまとめました。
- <調査概要>
対象:日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
回答企業数:計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
※以降、米:アメリカ、星:シンガポール を指す
*デジタルセキュリティ:DX(ビジネスモデルの変革や創造に寄与する高度なIT活用)の取組みによって新たに生じるセキュリティ要件への対応
DXへの取り組みと阻害要因の実態
そもそもDXとは、デジタルトランスフォーメーション(Digital Transformation)の略で、ビジネスモデルの変革や創造に寄与する高度なIT活用の取り組みのことを言います。
本記事では、DXに取り組んでいる/取り組み予定でいる企業が増えてきている中、まだ検討していない企業にとっても必要なデジタル時代に適応するために必要なことを読み解いていきます。
まず本章では、DXへの取り組み状況と、DXに関わるセキュリティに対応している企業の割合を整理し、他国との取り組み状況の差を分析します。
DXの取り組み状況とDXに係るセキュリティへの対応状況
図:DXに取り組んでいる企業/DXに関わるセキュリティに対応している企業
米/星の90%以上がDXに取り組んでいる一方で、日本では約44%にとどまっています。また、DXに取り組んでいる日本企業の内、約32%が「DXによりセキュリティの要請は変わっていない」と回答しており、DXに関わるセキュリティ対応を現行の延長として捉えている割合が米/ 星と比べて高いです。DXに取り組む企業においては、DX推進の影響分析やリスク評価を通じてセキュリティ要請のアップデート要否を組織的に判断し、必要に応じて対応することが望ましいでしょう。
DXの取り組みを進めるにあたっての阻害要因TOP5
次に、DXへの取り組みを阻害する要因TOP5をみていきます。
図:DXの取り組みを進めるにあたっての阻害要因TOP5
阻害要因1位、3位には「技術力を持つ人員の確保」と「新技術に対する理解」が入り、技術に対する対応が求められていることが分かります。DXへの取り組みには組織的に新技術をキャッチアップしていくことが必要だと考えられます。
また2位には「予算配分や投資判断」が入り、企業の現場はDXに取り組む際に、限られた予算や人員でDXを推進しながら、セキュリティにも配慮する必要があるでしょう。このような状況下においてはDXの取り組みを低コストで立ち上げ、リスクを小さく取りながら仮説検証を繰り返すことが現実解になるでしょう。
調査レポートでは米/星の阻害要因TOP5も掲載しています。是非ダウンロードして、日本との違い・共通点をご覧ください。
先進的なセキュリティソリューション導入状況
ソリューションを活用することで、DXへの取り組みを進めている企業も多くいるでしょう。本章では、日本企業におけるセキュリティソリューション導入率に注目し、調査した結果を分析します。
クラウド対応、運用業務効率化、端末脅威のリモート対応などに関心が集まる
図:日本企業における先進的なセキュリティソリューション導入および導入検討状況
1位のCASBは、DXの進展によりクラウドサービスの業務利用が増えていることが背景にあります。クラウドサービス全般は利用開始までの障壁が低いことがメリットであるが、その反面、「サービスの内容やリスクを十分に確認せずに利用する」、「意図しない設定のままで利用する」、「機密度の高い業務情報を取り扱う」 ことに起因したインシデントの増加が導入意欲の高まりの一因と考えられます。
2位のSOARは、セキュリティ人材の不足に悩んでいる企業が多い中、日々増えるセキュリティアラートへの対応や業務を自動化することで、限られたリソースを効率的に活用しつつインシデントへの対応力を強化する手段として有用です。また、業務の自動化は単なるリソース不足の対応策ではなく、従業員の生産性や創造性を向上させ、単純作業の連続から来るストレスの軽減などのメリットをもたらす側面がある点も考慮したいです。
また、多様な働き方を許容・奨励する時代背景を踏まえて、企業がテレワーク導入を検討・推進するにあたり、従業員が自宅や社外などで業務利用するモバイルPC に対する脅威やインシデント発生時の迅速な対応の難しさという課題があります。それらの課題に対して、3位のEDRは、IT・セキュリティ担当者が遠隔から迅速かつ安全に対応できる手段として注目されています。
4位以降の結果や考察については、調査レポートに掲載しています。ゼロトラストやDevSecOps、TLPTといったキーワードがそれぞれ何位だったか、是非ダウンロードしてご確認ください。
開発を行う企業はAgile/DevOpsの採用にも積極的
続いて、自社開発を行っている企業に対して、Agile型、DevOps型の採用状況を調査しました。ここでも、米/星との差や、DXに取り組んでいるかどうかで差がででおり、自社開発を行っている企業は、開発体制の見直しが求められます。
海外と比べて、Agile/DevOpsへの取り組みの差がある
図:3か国の開発体制比較/3か国の自社開発企業のAgile型開発またはDevOpsの採用状況
日本では自社で開発を行っている企業は30%程度にとどまっています。自社で開発を実施している企業のうち、アジャイルもしくはDevOpsを開発プロセスに採用または採用検討中の企業は日本は60%で、米/ 星の80% 以上と比較すると遅れをとっています。
図:日本企業のDX取り組みと開発体制/DX取り組み別の自社開発企業のAgile型開発またはDevOpsの採用状況
DX取り組み企業の50%が自社開発し、そのうち70%強がアジャイルやDevOpsの採用に前向きである一方、DXの取り組みのない企業は自社開発が約20%で、その開発・運用形態はアジャイル・DevOps未採用企業が優勢です。
システム特性やビジネスの目標、環境により最適な開発・運用形態は異なるので、依然としてウォーターフォールモデルが適している場合もあります。一方、不確実性の高いDXでは事業そのものをアジャイル(機敏)に変化へと対応させていくことが求められ、それらのビジネス要求を実現する開発・運用形態が不可欠です。 DXに取り組むアジャイル型の開発、内製も含めた開発体制の見直しは、デジタル事業における選択肢を増やすことにつながります。
なお、自社開発と外部への委託開発を併用するケースも多いと考えられます。世にあるサービスや専門家のリソースを活用しつつも、事業の中核は自社で開発することが、DXの事業リスクをコントロールしつつ他社との差別化を図るうえで重要です。
また調査レポートでは、脆弱性チェック等のセキュアな開発に係る実施状況を、Agile/DevOpsを採用/不採用企業で比較しています。
企業における情報セキュリティ実態調査2019
以下の報告書では、本ブログ記事の内容に加えて、「セキュリティ経営」、「セキュリティ人材」、「セキュリティ対策」、「脅威・事故」編の詳細分析結果をまとめています。ぜひダウンロードしてみてください。
01 デジタルセキュリティ編(本記事)