.jpg?width=850&height=479&name=top%20(3).jpg)
当社で実施した「企業における情報セキュリティ実態調査2019」の結果を、先月よりテーマ毎に公開しています。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「セキュリティ対策」に関連した調査結果をまとめました。
ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。
- <調査概要>
対象:日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
回答企業数:計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
※以降、米:アメリカ、星:シンガポール を指す
セキュリティ対策評価と対策計画策定の実施状況
本記事では、セキュリティ対策の実施・管理状況や、経営層の関与状況を、セキュリティ担当者の目線で調査した結果を見ていきます。
まずは、対策計画策定と対策状況評価の実施状況からです。
セキュリティ対策計画の策定状況
図:セキュリティ対策計画の策定状況
今回の調査では、日本は「短期的」、米/星は「中長期的」な視点で計画を策定している企業の割合が高いという結果となりました。
また、日本は約30%の企業が計画自体策定しておらず、米/星と比較すると、対策が場当たり的になってしまっている企業が多いと推察されます。
下記記事で「情報セキュリティ負債」と表現している通り、計画のない、場当たり的な対策は、対策の複雑化や有効性低下を招く可能性があります。
計画の策定、あるいは計画見直しのためには、自社の現状のセキュリティ対策状況を定期的に評価することが効果的ですが、定期的な評価を実施している企業の割合はどの程度でしょうか。下図は、3カ国企業のセキュリティ対策評価の実施状況を示しています。
セキュリティ対策評価の実施状況
図:セキュリティ対策評価の実施状況
今回の調査では、評価を定期的に実施する企業の割合は、米が約90%、星が約80%である一方、日本は50%に満たない結果となりました。
実施率の低い日本企業は特に、まずは簡易的にでも自社の対策状況を評価し、目指すべき目標や計画を定めるところから始めてみることが望まれます。
また、定期的な評価を行うことは、実施すべき対策の洗い出しや計画の見直しに繋がると共に、対策の必要性を経営層に説明しやすくなるという利点もあります。セキュリティ投資は直接的な企業利益には繋がりにくいからこそ、セキュリティ対策を推進するためには、セキュリティ担当者と経営層の適切なコミュニケーションが重要です。策定した計画内容に対して経営層と合意形成することで、適切な予算や人的リソースを確保することができ、自社に適したセキュリティ対策の実行がしやすい環境に近づいていくでしょう。
なお、報告書本編では、「日本企業における「評価の実施状況」と「計画の見直し実施率」の関連性」についても分析しています。定期的な評価が定期的な計画の見直しに繋がるのか、興味深い結果となっていますので、是非報告書をダウンロードしてご覧ください。
セキュリティ対策実施のきっかけや実施時の困りごと
情報セキュリティ対策実施のきっかけや理由
図:情報セキュリティ対策実施のきっかけや理由(1位のみ)
米/星の1位は共通して「経営層のトップダウン指示」でした。前述の通り、米/星の企業の多くは経営層を巻き込み、トップダウンでセキュリティ対策を実施できていることを示す結果ではないでしょうか。
一方、日本の1位は「自社でのセキュリティインシデント」でした。
日本企業のセキュリティ対策の位置づけは依然「コスト」であり、インシデントが発生したことでようやく経営層が対策の必要性を認識した、というケースが多いのではないかと考えられます。
なお、報告書本編では、「対策実施のきっかけ2位/3位」についても分析しています。「経営層のトップダウン指示」や「自社でのセキュリティインシデント」以外に、何をきっかけにセキュリティ対策を実施しているのか、3カ国間の結果に差異はあるのか、是非報告書をダウンロードしてご覧ください。
情報セキュリティ担当者として、最も対応に困っていること
図:情報セキュリティ担当者として、最も対応に困っていること(1位のみ)
日本の1位は「自社セキュリティ対策の遅れ(最新技術・動向の未反映)」でした。経営層のリーダーシップが発揮されないことがセキュリティ予算の少なさ(同調査のセキュリティマネジメント編を参照)や、セキュリティ担当者の不足(同調査のセキュリティ人材編を参照)に繋がり、結果として必要なセキュリティ対策を実施できない状況になってしまっている企業が多いと考えられます。
一方、米/星の1位は「セキュリティ対策のトレンド・他社動向の把握」でした。
セキュリティ計画の策定や経営層へのインプットのためのセキュリティ情報の収集は、日本においても多くのセキュリティ担当者が実施しています。米/星においては、脅威インテリジェンスのように、収集した情報に洞察を加えることや、情報の利活用方法をプロセス化させることに取り組んでいる最中で、ゆえに現状の困りごとの上位にあがったのではないかと推察します。
なお、報告書本編では、「セキュリティ担当者の困りごと2位/3位」についても分析しています。世の中のセキュリティ担当者が今、何の対応に頭を悩ませているのか、是非報告書をダウンロードしてご覧ください。
CSIRTの構築状況
図:CSIRTの構築状況
CSIRT(シーサート)とは「Computer Security Incident Response Team」の略語で、セキュリティ事故対応のための体制を指します。サイバー攻撃の高度化に伴い、セキュリティ事故の発生を前提とした組織構築の必要性が高まっていますが、日本企業のCSIRT構築率は約40%と、米/星の約90%と比べると低い結果となりました。
一方、CSIRT構築済企業のうち、CSIRTが有効に機能していると回答した企業の割合は、3カ国とも約60%に留まりました。米/星では多くの企業がCSIRTの必要性を理解し、構築をしていますが、「CSIRTの構築自体が目的となり、本質的に必要な手順整備やセキュリティ対策機器の導入が後回しになってしまう」という課題は、日本企業と同様だと考えられます。
次に、CSIRT構築済企業の構築形態を見てみると、日本企業は兼任組織が中心、米企業は専任組織が中心、星企業は専任・兼任組織の割合がほぼ同じ結果となりました。日本企業の主要な構築形態である兼任組織については、インシデントの際に組織横断的なコミュニケーションが取りやすい一方、指揮系統があいまいになりやすいという弱点があります。そのため、兼任組織については特に、緊急時に適切な指示系統で動けるようCISOを巻き込んだ訓練を平時から実施しておくことが重要です。
なお、報告書本編では、「CSIRT運営に関する課題」についても分析しています。CSIRT運営の具体的な課題や、課題解決のための提言について、是非報告書をダウンロードしてご覧ください。
以下の報告書では、本ブログ記事の内容に加えて、「デジタルセキュリティ」、「セキュリティマネジメント」、「セキュリティ人材」、「脅威・事故」編の詳細分析結果をまとめています。ぜひダウンロードしてみてください。
企業における情報セキュリティ実態調査2019
04 セキュリティ対策編(本記事)
