セキュリティ対策プラットフォーム「Secure SketCH」のカスタマーサクセスチームでは、日々多くの担当者から悩みや課題を伺っています。
中でも特に多いのが「他社がどのような対策を講じているのか」「自社の取り組みは十分か」といった、比較やベンチマークに関するご相談です。
セキュリティには明確な正解がないからこそ、判断に迷う企業が多いことを実感してきました。
そこで本記事では、Secure SketCH 約4,000社(2024年下期時点)の回答データをもとに、企業の対策傾向を分析しました。
「高いレベルで対策できている項目(定期的見直しTOP5)」および「対策が遅れがちな項目(未対策TOP5)」にて、他社の取り組みを参考に、自社の対策の見直しや優先順位付けにお役立ていただければ幸いです。
近年、企業を取り巻くサイバーセキュリティの脅威はますます高度化・巧妙化しており、企業規模を問わず対策が求められています。
2025年度のIPA「情報セキュリティ10大脅威」では、ランサム攻撃、サプライチェーン攻撃、システムの脆弱性を突いた攻撃などが上位にランクインしています。
Secure SketCHの分析では、約44.5%が「C(弱点補強必須)」または「D(対策実施必須)」に分類され、多くの組織でセキュリティ対策の強化が求められている状況です。
こうしたリスクに備えるには、まず自社のセキュリティ体制を改めて見直し、現状を正しく把握することが重要です。
定期的に見直しが行われている対策項目として、以下の5つが挙げられました。日本では情報セキュリティが重視されており、セキュリティ体制の強化に不可欠な以下の対策項目は、高いレベルで実施されています。
今後は、サイバー攻撃の高度化に対応するため、サイバーセキュリティの観点から、より精度の高いリスク管理や包括的な資産管理、従業員の意識向上が求められます。
|
No. |
カテゴリ |
設問 |
割合 |
|
1 |
戦略 |
自社の事業特性をふまえてセキュリティリスクを特定し、リスクが顕在化した場合に事業におよぼす影響を評価する |
27.6% |
|
2 |
技術 |
ハードウェア資産をルールに則って調達・廃棄し、一覧管理する |
25.7% |
|
3 |
戦略 |
自社が準拠すべき法令や基準、ガイドラインを認識し、セキュリティに関する要求事項に対応する |
24.5% |
|
4 |
戦略 |
セキュリティリスクへの対応計画を策定し、対策の実施状況を管理する |
24.4% |
|
5 |
戦略 |
企業におけるセキュリティポリシーを定め、全従業員に周知する |
24.3% |
以下では、定期的に見直しが行われているTOP5について、これまでの取り組みの傾向と今後必要とされる対応について、項目ごとに順を追ってご紹介します。
情報セキュリティの観点に加えて、サプライチェーンやクラウド環境など、新たなリスク要因を考慮し、より精度の高いリスク評価が求められています。
サプライチェーンにおける課題としては「サプライチェーンとして管理すべき対象の全体像を把握できていない」が上位となっており、リスク評価の必要性が高まっていることがわかります。
関連ブログ:
デジタルクライムにどう立ち向かうか|サービス不正利用のリスク分析の進め方
日本ではISMSを取得する企業が多く、資産の棚卸しが重視されているため、本項目が上位に入っていると考えられます。
今後は、IT資産の多様化やリモートワークの普及に伴い、クラウド環境やモバイルデバイスを含めた包括的な資産管理が必要となります。
関連ブログ:グローバル対応クラウド型PCセキュリティ管理ツール:PC Check Cloud
情報セキュリティに関連する法令、規制、および契約上の要求事項の順守は、企業や組織にとって不可欠な取り組みであり、適切な管理が求められてきました。
こうした取り組みの重要性の高まりに伴い、企業はセキュリティ対策への投資をより重視するようになっています。
その結果、IT関連予算に占めるセキュリティ関連予算の割合は増加傾向にあり、その背景には多発するランサムウェアの被害やNIST CSF2.0の公開などが要因となっています。
今後も、法規制の強化や新たなサイバー脅威に対応するため、企業は最新の基準やガイドラインを継続的に把握し、柔軟かつ計画的にセキュリティ投資を拡大していくと考えられます。
関連ブログ:
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
情報セキュリティの観点から、これまではセキュリティリスクに対する対応計画を策定し、適切に管理することが求められてきました。
これからは、サイバー攻撃の高度化に対応するため、インシデント発生時の復旧計画や定期的な見直し・訓練の強化が必要となります。
関連ブログ:
サイバー攻撃への備え|昨今の情勢を踏まえて企業が点検すべき7つのポイント
情報セキュリティ方針では、定義・経営陣の承認・関係者への周知、計画的なレビュー、インシデント発生時の見直しが推奨されています。
今後は、テレワークやDX推進に伴い、より実効性のある教育・訓練を継続的に実施し、従業員のセキュリティ意識向上を図ることが重要になります。
未対策のTOP5として、以下の5つの対策項目が挙げられました。この結果から、日本では情報セキュリティの分野において、長年にわたり事前対策が重視され「事前対策 > 事後対策」の傾向が現在も続いていることが考えられます。
しかし近年、サイバー攻撃の高度化やリモートワークの普及により、従来の防御策だけでは十分ではなくなっています。インシデント発生を前提とした対応が必要で、包括的なサイバーレジリエンス強化に取り組む必要があります。
|
No. |
カテゴリ |
設問 |
割合 |
|
1 |
有事対応 |
インシデント対応チームだけでなく、関係各所や役職員も対象としたインシデント対応訓練を実施する |
65.6% |
|
2 |
技術 |
複数の情報源からログやデータを収集し、相互に関連付けて分析・可視化する(SIEMの導入など) |
60.0% |
|
3 |
有事対応 |
インシデント対応チームを対象に訓練を実施する |
58.4% |
| 4 |
技術 |
侵入テスト(ペネトレーションテスト)を実施する |
51.1% |
|
5 |
戦略 |
セキュリティインシデントの各種損害を補償する保険への加入を検討する |
46.3% |
未対策TOP5の項目について、現状の課題と今後必要となる対応について説明します。なお、「有事対応」における体制整備や対応力の強化に関する項目については、本質的に同一の課題と判断し整理・統合しています。
インシデント対応は専門チームに依存しがちであり、関係各所や役職員への訓練が不足している企業が多いのが現状です。
その背景には、日本では長年情報セキュリティの観点から事前対策に重点を置いてきた影響で、事後対策の強化や確認が後回しにされてきたことが挙げられます。また、訓練にかかるコストやリソースの確保が課題となっていることも要因です。
近年はサイバーレジリエンスの重要性が高まり、その具体的な取り組みの一つとして「訓練・教育の実施」が注目されています。
サイバーセキュリティの観点からも、事後対策の強化が重要となります。
関連ブログ:
サイバーも「防災訓練」の時代へ!企業が実施すべき演習のやり方
多くの企業では、ログの収集・分析が十分に行われていないのが現状です。その主な理由として、従来の手法では各システムのログが個別に管理されており、相互の関連性を把握しづらかった点が挙げられます。
さらに、SIEM(Security Information and Event Management)の導入にはコストや専門知識が求められるため、特に中小企業にとっては導入のハードルが高いとされています。
しかし、サイバー攻撃がますます高度化・巧妙化する中で、リアルタイムでの脅威検知や迅速な対応の重要性は高まっています。
今後は、SIEMの導入などを通じて複数のログ情報を統合的に分析・可視化し、より効果的なセキュリティ運用を実現していくことが求められます。
関連ブログ:
自社SIEMの価値を最大化するための現実解とセキュリティ監視・運用の課題
Splunk×NRIセキュア対談|日本のSIEM運用内製化を支える監視サービスに必要だったこと
侵入テストを実施していない企業が多い背景には、コストや専門知識の不足、十分なリソースの確保が難しいことが挙げられます。
一方、従業員規模が1万人以上の企業では、侵入テストの実施率が高い傾向にあります。
日本企業の多くでは、「脆弱性残存状況の検証」を目的とした脆弱性診断やペネトレーションテストの実施が主流となっていますが、サイバー攻撃の進化に伴い、これらの対策の重要性はさらに高まっています。
今後は定期的な侵入テストを実施し、システムの脆弱性を特定・修正することで、防御力を強化する必要があります。
関連ブログ:
ペネトレーションテストとは?脆弱性診断との違いや脅威ベースの考え方
日本ではリスク移転よりもリスク低減(=対策の実施)が重要視される傾向が強く、リスク移転を考慮する企業が少ないことが、サイバー保険加入の未実施率の高さに影響していると考えられます。
サイバー保険の加入判断は企業ごとに異なりますが、2024年にはサイバー攻撃による深刻なセキュリティ事故が多発し、多額の特別損失を計上した事例もあります。これを受け、リスクベースアプローチの観点から、サイバー保険の導入を再検討する良い機会となっています。
関連ブログ:
サイバー保険を活用するための7つのポイント|Q&A形式で解説
これらの未対策項目は、セキュリティインシデント発生時に企業へ深刻な影響を及ぼすリスクとなります。
特に、サイバー攻撃の高度化に伴い、事後対策の重要性が高まっており、迅速な対応が求められます。今後は、事前対策だけでなくサイバーセキュリティの観点からも包括的な対策を講じ、企業全体のセキュリティレベルを向上させることが必要となります。
NRIセキュアが提供しているサービス「Secure SketCH」は、約80問のセキュリティに関する設問に回答するだけで、複数ガイドラインを踏まえた企業・組織の評価を1,000点満点中の得点や偏差値で可視化できるプラットフォーム型のSaaSサービスです。
現在、約7000社に利用いただいており、様々な業種・業界、またグローバルなセキュリティフレームワークの対応実績から、グローバル98ヵ国で利用いただいています。
Secure SketCHの設問に回答するだけで自社のセキュリティ状況を把握できるだけでなくアセスメント結果を踏まえて、やるべき事項も確認できるため、対策を適切かつ効率的に進めることが可能です。
Secure SketCHは、設問に回答することで自社のセキュリティ対策状況を数値化し、可視化された結果を基に推奨される対策ロードマップを自動生成します。
そのため、優先度に沿った実行計画を立てやすくなり、各対策に必要なタスクを登録して進捗を管理することもできるので、効率よくセキュリティ強化を進められます。
また、定期的な再評価により実施した対策の効果をチェックでき、必要に応じて計画の調整も可能です。これにより、セキュリティ対策のPDCAサイクルを無理なく続けることができます。
このように、Secure SketCHは「今どこに課題があるのか」「何から始めればよいのか」「どこまで進んでいるのか」といったポイントを整理しながら、組織全体のセキュリティレベルを着実に高めていくサポートをします。
本レポートでは、Secure SketCHをご利用いただいている企業の回答データをもとに、セキュリティ対策の傾向や課題をまとめました。
様々なセキュリティ担当者の方とお話しする中で、「他社と比べてどうなのか?」「うちはこれでいいのか?」と悩まれている声を多く聞いてきました。
だからこそ、少しでも皆さんのヒントになる情報を届けたい、そんな想いで本記事を作成しています。
セキュリティ対策はゴールのない取り組みですが、他社の事例や傾向を知ることで、前に進むきっかけになれば幸いです。今後も、セキュリティ担当者の方々の心強いサポーターであり続けられるよう、私たちも引き続き取り組んでいきます。