詳しい調査結果はこちら
ABOUT
NRI Secure
Insight 2024とは?
NRIセキュアテクノロジーズ株式会社が2002年度から22 年にわたり
実施している企業の情報セキュリティに関する取り組みの実態調査です。
調査実施回数今年で
22回目
目的
- 日本、アメリカ、オーストラリアの企業における情報セキュリティに対する取り組み状況を明らかにする
- 企業の情報システム/情報セキュリティ関連業務に携わる方へ有益な参考情報を提供する
調査対象
日本
アメリカ
オーストラリア
企業の情報システム /
情報セキュリティ担当者
調査期間
-
2024.07.23 - 2024.09.20
-
2024.10.15 - 2024.10.28
回答いただいた企業数
計2,491社
-
1,481社
-
507社
-
503社
本報告書の作成にあたり、アンケートに
ご回答いただいた皆さまに
深く感謝いたします。
ご協力ありがとうございました。
調査結果
ゼロトラストセキュリティ
VPN使用状況
POINT
-
VPN侵害によるセキュリティ事故が頻発している中、約8割の企業が使用継続の予定
-
従業員規模が1 万人以上の企業の約18%は、今後の使用停止を検討している
-
使用停止理由は「ゼロトラストセキュリティ推進による脱VPN 」が最も多い
VPN使用停止の検討割合
VPNの使用停止理由
※VPNの使用を停止した/使用停止を検討していると回答した企業のみ対象
※NRI Secure Insight 2024 資料 P21 より抜粋
セキュリティ対策ソリューション
をお探しですか?
ゼロトラストセキュリティ実装状況
POINT
-
ゼロトラストセキュリティは検討の段階を抜けて、実装フェーズに突入している
-
ゼロトラストを実装している企業は、企業規模を問わず増加傾向にある
-
一方で「検討したが実装しなかった」企業も増加しており、予算や人材不足などで、具体的な導入検討を進められない状況が想定される
ゼロトラスト実施率
※NRI Secure Insight 2024 資料 P22 より抜粋
セキュリティ対策ソリューション
をお探しですか?
生成AI
生成AI活用状況
POINT
-
日本企業の生成AI 活用は進んでおり、生成AIを活用している日本企業は約65%に達し、急速に受け入れられている
-
一方で、活用用途の大半は社内向けの活用であり、顧客向けサービスに生成AI を活用している企業は未だ少ない
-
日本では米豪と比べてデータ入出力への懸念・課題意識が強く、顧客に生成AI サービスを提供するうえでの障壁
生成AIの活用状況
「顧客向けサービス」に生成AI を活用している企業の割合
※顧客向けサービス:顧客向け問い合わせチャットボットなど
※NRI Secure Insight 2024 資料 P24 より抜粋
AIを活用して効率化したいセキュリティ対策
POINT
-
セキュリティ対策に対する生成AI 活用への期待は、日本と米豪で中身が異なる
-
日本では「攻撃の検知」や「脆弱性の検知」など、既存のITインフラのセキュリティを確保することに重点を置いている
-
米豪では「セキュリティルールの作成」や「セキュリティ対策の立案」など、セキュリティ戦略や統制領域での活用を期待
生成AI のセキュリティ対策活用への期待比較
※他選択肢:インシデント対応/セキュリティ訓練/その他(具体的に記載)
※NRI Secure Insight 2024 資料 P26 より抜粋
セキュリティ対策ソリューション
をお探しですか?
セキュリティマネジメント
サイバーレジリエンス
POINT
-
サイバーレジリエンスを理解していると回答した企業は全体の約25%
-
従業員1 万人以上の規模が大きい企業では約80%と注目度が高い
サイバーレジリエンスを理解していると回答した企業
※NRI Secure Insight 2024 資料 P8 より抜粋
サイバーレジリエンス(Cyber Resilience)とは?
サイバーレジリエンス(Cyber Resilience)とは、サイバー攻撃やシステム障害が発生した際に、事業の継続性を維持し、影響を最小限に抑えるための組織の対応力と回復力を指します。これは、単なる防御策にとどまらず、攻撃を受けた後の迅速な回復と業務の継続を可能にするための包括的なアプローチです。
近年、サイバー攻撃の手法が高度化・多様化しており、従来のセキュリティ対策だけでは十分に対応できないケースが増えています。その結果、攻撃を完全に防ぐことが難しくなり、攻撃を受けた後の迅速な回復と業務継続が求められるようになりました。
企業のDXの浸透に伴ってビジネスのデジタル依存度は上昇し、サイバー攻撃の被害が甚大になる可能性が高まっています。また、DXが進むほどサイバー攻撃を受けた際の復旧コストが増加し、業務停止による損失も大きくなります。
さらに、多くの企業が抱えるサイバーレジリエンスの課題として、サプライチェーンリスクの相互依存性が挙げられます。これは、サプライチェーンが複雑化することで、企業間の依存度が高まり、一社の問題が連鎖的に他の関連企業にも影響を及ぼし、脆弱性が生じる可能性があります。
サイバーレジリエンスを確立するためには4つの重要なプロセスが必要です。まず、攻撃に備えた準備状態を維持する予測力を持つことで、最新の情報を収集し、分析して適切な準備を行うことができます。次に、攻撃が発生した際には、その影響を最小限に抑え、重要なミッションや事業機能を継続するための対策を講じる抵抗力が求められます。さらに、攻撃後には迅速かつ効果的に事業機能を復旧させる回復力が必要です。最後に、技術的な進歩や脅威環境の変化に柔軟に対応し、事業機能やサポート機能を継続的に向上させる適応力が求められます。
図:サイバーレジリエンスを構成する4つの能力
加えて、組織全体の意識改革も必要です。全社員がサイバーセキュリティの重要性を理解し、日常の業務においてセキュリティ意識を持つことが求められます。また、インシデント対応訓練や定期的なマニュアルの改訂を通じて、実際の攻撃に対する対応力を高めることができます。
サイバーレジリエンスは組織の持続可能性を支える重要な要素です。今後も進化し続ける脅威に対して、常に最新の対策を講じることが求められます。
2025年7月24日(木) 14:00~17:00開催
CSIJ公開シンポジウム2025
止まらないランサム被害にサイバーレジリエンスをどのように高めていくか?
~セキュリティベンダー各社の経験からの示唆、CSIJからの提言~
セキュリティ対策ソリューション
をお探しですか?
IT関連予算とセキュリティ予算割合
POINT
-
IT関連予算に占めるセキュリティ関連予算の割合は増加傾向
-
予算増加の理由はランサムウェア攻撃などを起因としたインシデントの頻発と推察
セキュリティ関連予算の割合が10%以上の企業
※NRI Secure Insight 2024 資料 P6 より抜粋
セキュリティ関連情報
サプライチェーン
経済安全保障推進法を受けて強化した対策
POINT
-
Attack Surfaceの状況把握を導入・検討する企業が増えた
-
サイバーレジリエンスへの関心が高まっている
経済安全保障推進法を受けたAttack Surface状況把握の取り組み
サイバーレジリエンスの能力向上への取り組み
※NRI Secure Insight 2024 資料 P12 より抜粋
ASM(Attack Surface Management)とは?
ASM(Attack Surface Management)とは、サイバー攻撃の対象となりうるIT資産を発見し、継続的にリスクの探索・評価を実施する活動およびサービスです。ASMを実現するには、攻撃者目線に立ち、自社で未把握のIT資産を含め、自社が公開しているIT環境のアタックサーフェスを網羅的に把握することが重要です。
自社にて申告ベースでIT資産を管理している場合、申告漏れや誤認などが発生するリスクがあります。ASMにより攻撃者視点で実態ベースにIT資産を探索・発見し、従来のIT資産管理と併用することで、精度向上やリスク管理の高度化が実現できます。ASM活動では主に以下の3つのステップを継続的に実施・管理していく取り組みとなります。
ASM活動の全体イメージ
DX・テレワークの進展により、IT環境は広がり続けています。また、未だに多くの企業において対策が十分に進んでいないという弱点を突くことが攻撃者目線では効率的かつ攻撃コストの低減につながるため、外部公開資産経由(リモート)でのセキュリティ侵害は増加傾向にあります。今後もリモートからの攻撃は継続すると予測され、リモート攻撃に対するセキュリティ対策強化をしていくことの重要性がますます高まっています。
2023年5月には経済産業省から「ASM導入ガイダンス」が発刊され、グローバルだけでなく日本においてもASMの重要性の高まりが伺えます。近年のサイバー攻撃による影響はますます増⼤しており、⾃組織をサイバー攻撃から守るためには、効果的なASMの活用が必要となります。
SBOM(ソフトウェア部品表)の導入状況
POINT
-
関連法規やガイドラインの策定を背景に米豪ではSBOMの導入が急速に進行中
-
日本全体ではSBOM を「未検討」「知らない」という企業が依然として多い
-
一方で、従業員1 万人以上の日本企業ではSBOMの導入に進展がみられる
2024年のSBOMの導入済み・利用している割合
※NRI Secure Insight 2024 資料 P13 より抜粋
セキュリティ対策ソリューション
をお探しですか?
セキュリティ対策
DMARCの実施状況ときっかけ
POINT
-
日本のDMARC実施率は米豪と比較すると低いものの、この1年で上昇し約3割に達した
-
DMARC実施のきっかけ1位は、Googleの送信者ガイドラインへの対応
DMARCの実施・検討状況
DMARC実施率の比較
DMARC実施のきっかけ
※NRI Secure Insight 2024 資料 P19 より抜粋
セキュリティ対策ソリューションをお探しですか?
注意書き
- ・本アンケート調査は、NRIセキュアテクノロジーズ株式会社が、企業や公的機関におけるセキュリティ対策の推進を支援することを目的に、自主的な活動として行っているものです。
- ・本アンケート調査の生データは提供いたしかねます。
- ・本報告書の著作権は、NRIセキュアテクノロジーズ株式会社が保有します。
- ・内容の一部を転載・引用される場合には、出所として弊社名称「NRIセキュアテクノロジーズ株式会社」および調査の名称「NRI Secure Insight 2024 」を併記した上で、弊社までお知らせ下さい。(電子メール:info@nri secure.co.jp)
- ・今回のアンケートにおける回答企業数 n は、日本1,481 社、アメリカ507 社、オーストラリア503 社です。
-
・以下の行為はご遠慮ください。
※データの一部または全部を改変すること
※本報告書を販売・出版すること
※出所を明記せずに転載・引用を行うこと
- ※「把握していない」「不明」という回答や無回答の除外、パーセンテージの切り上げ等により、選択肢の合計値が100%にならない場合があります