EN

NRIセキュア ブログ

企業の情報セキュリティ実態調査レポート|DXとテレワークが加速するもセキュリティに課題

目次

    Insight2020

     NRIセキュアでは、2002年度から毎年「企業における情報セキュリティ実態調査」を行っており、2020年度も日本とアメリカ、オーストラリアを対象に行いました。その結果、各国のセキュリティへの意識の違いが浮き彫りになっています。本記事ではこの調査の結果について解説します。

     

     

    ゼロトラスト座談会

    DXのセキュリティ対策に課題が残る日本企業

     日本、アメリカ、オーストラリアの企業における情報セキュリティへの取り組みを明らかにすることなどを目的に、2020年7月から9月にかけて、NRIセキュアは日本の1,222社、アメリカの523社、オーストラリアの515社を対象として、セキュリティ実態調査を実施しました。

     この調査では、近年話題となることが多いDX(デジタルトランスフォーメーション)への取り組みについて調べたところ、日本企業がDXへ取り組んでいる割合は実に76.5%にも上ることが分かりました。2019年度の同調査では日本企業のDXへの取り組み率は約30%であったことを踏まえると、多くの企業がDXに取り組み始めていることが分かります。

     この中で、日本企業にとっての喫緊の課題として考えられるのはDXに伴う「セキュリティ戦略」の見直し状況です。「デジタルトランスフォーメーションの取り組みを進めるにあたって、自社のセキュリティ戦略やルール、プロセスの見直しを行っていますか」という問いに対し、「一部実施」、「実施済み」と答えた企業は、アメリカで73.7%、オーストラリアで77.3%だったのに対して、日本では21.7%にとどまりました。

     

    1a

     この結果については、これまでのコーポレートITの利用形態において主流を占めていたオンプレミス(自社運用型)を前提にしたインフラや、境界防御を想定した従前のセキュリティポリシーが足かせとなり、見直し範囲が拡大していることや、検討や対応を進めるための人材・予算が不足していることなどから、DXのセキュリティ戦略を考えるにあたって、何から手を付けるべきか判断できない企業が多い状況であると考えられます。

     また新型コロナウイルスの感染拡大防止策として普及が進むテレワークについては、日本企業の73.0%が実施しているのに対し、「テレワークに伴うセキュリティ要件を把握し、対策を行っている」と回答した企業は56.5%にとどまっており、若干不安が残る結果となりました。

     今後、テレワークのセキュリティ対策の強化を考えていく際には、現行の境界型防御モデルから「ゼロトラストモデル」への移行を検討することも重要です。境界型防御モデルは、インターネットと社内ネットワークの境界でファイアウォールなどを使ってセキュリティ対策を行うものですが、昨今ではクラウドサービスの利用増大などから、インターネット上にも守るべき情報資産が存在しています。そのため、すべての通信においてユーザー認証や暗号化による通信内容の保護を行う、「ゼロトラストモデル」の考え方が広まりつつあります。

     

    「ゼロトラスト」が働き方を変える~次世代のセキュリティモデル~

     

    サプライチェーンの広がりに伴うセキュリティスコープの変化

     日本では、国内関連子会社に対しては71.0%、国外関連子会社に対しては57.0%の企業が、セキュリティ対策状況を把握していると回答しています。米豪の企業についてみると、国内・国外関連子会社のいずれに関しても把握している割合が8割前後と、日本よりも高くなっています。ビジネスパートナーや委託先企業に対してのセキュリティ統制状況についても、米豪では8割以上の企業がセキュリティ統制を実施しているのに対して、日本で実施している企業は、国内で51.9%、国外に対しては35.2%に留まる結果となりました。

     近年ではサプライチェーンに起因したセキュリティインシデント(事件・事案)が相次いで発生しており、サプライチェーン全体のセキュリティレベルを上げていく必要があります。そのためには、まずはセキュリティ対策状況の把握から始めるべきです。その上で、自社が定める一定水準以上のセキュリティ対策がなされていないサプライチェーンに対しては「水準をクリアしない限り取引しない」という判断も必要になってくるでしょう。

     また、今回の調査で日本企業のDXへの取り組み率が上がっています。日本企業全体としてDXの取り組み率が上昇しているという現状は望ましい結果だと言えるでしょう。 しかし、それに伴うサプライチェーンの増加によってセキュリティ対策のスコープが広がるため、境界外のセキュリティに対して統制をしていくことも求められることになります。
     
    1

    国内外を問わずセキュリティ脅威となっている標的型攻撃とランサムウェア

     過去1年間に発生したインシデントについて尋ねた設問では、米豪ではサイバー攻撃に分類されるものが上位を占めました。日本でもサイバー攻撃がトップ10に4つランクインしていますが、一方で電子メールやFAX、郵便物などの誤送信・誤配送など、ヒューマンエラーによるインシデントも挙げられています。

     

    2

     また自社にとって最も脅威となる事象としては、いずれの国においても標的型攻撃による情報漏えいと、ランサムウェアによる被害が上位となりました。

     

    3
     これについては、標的型攻撃で使われることが多いEmotetや、身代金を要求するランサムウェアの世界的な流行と被害の拡大が理由になっていると考えられます。また、昨今のテレワーク環境では、それらへの対処が難しいことも、多くの企業が脅威として感じる要因になっているのではないでしょうか。

    おわりに

     今後もDXやテレワークの進展に伴うセキュリティ上の脅威は増していくため、これからの時代に即した新たなセキュリティ戦略が必要になります。セキュリティ対策の適用範囲、実装範囲を広げて、ニューノーマルのセキュリティ戦略を実施していくことが、これから企業がセキュリティを強化していく上で重要となってきます。

     今後のビジネスを考える上で、DXは極めて重要な要素となるのは間違いありません。またテレワークをはじめとする新たな働き方は今後も広がっていくでしょう。このような変化の中でどのようにセキュリティ対策を実施していくのか、今後も脅威が増え続けるサイバー攻撃から事業をどのように守っていくのかについて、改めて検討する必要があるのではないでしょうか。

     

    NRI Secure Insight 2023