NRIセキュア、「企業における情報セキュリティ実態調査2019」を実施〜DXの推進に向けて、セキュリティ対応の意識・行動改革が求められる日本企業〜

DX（デジタル・トランスフォーメーション）への取り組み状況について尋ねたところ、「取り組んでいる」と回答した日本企業の割合は、30.7%でした（図1）。取り組みを阻害する要因としては、「技術を実装する人員やリソースの確保やスキル」（39.2％）、「予算配分や投資判断」（33.3％）が最も多く挙げられています（図2）。

DXの推進においては、複数の関係者がコラボレーションし、新しい技術や複数のクラウドサービスの活用によって、社内外の多種多様なシステムとのつながりが拡大していくことから、従来型のセキュリティ対策とは異なるセキュリティ要請への対応（デジタルセキュリティ）が求められます。「DXでセキュリティの要請が変わり、ルールや対策更新等の対応をしている」と答えた日本企業は、回答全体の4.9%と低く、「今後対応する予定」と合わせても、16.7%にとどまりました（図1）。

回答企業の範囲が同一ではないため比較には注意を要しますが、アメリカおよびシンガポールの調査では、いずれも85%以上の企業が「DXに取り組んでいる」と回答し、デジタルセキュリティに対応している（予定を含む）企業の割合も、アメリカで58.4％、シンガポールで54.5%となりました。DXを推進して自社のビジネスを拡大させていくためには、デジタルセキュリティへの対応が不可欠であり、DXに取り組む日本企業の意識改革と早急な対応が求められます。

自社のCISO（最高情報セキュリティ責任者）について質問したところ、「設置している」と答えた企業が日本では53.4%だったのに対して、アメリカは86.2%、シンガポールで86.7％でした（図3）。また、この1年間で実施したセキュリティ対策について、実施のきっかけや理由を尋ねると、日本企業は、「自社でのセキュリティインシデント（事件・事故）」（33.6%）が最も多かったのに対して、他の2か国は「経営層のトップダウン指示」（アメリカ55.4%、シンガポール66.1%）がトップでした（図4）。

日本企業は、インシデントの発生をきっかけにセキュリティ対策を実施するという、後手に回った対応が多いとみられます。DXやデジタルセキュリティなど、企業を取り巻く環境が目まぐるしく変化する中で、今後は、セキュリティ分野における経営のリーダーシップを向上させ、先を見据えた対策を打っていく必要があります。

その背景として、これら2か国の企業は日本に比べて、クラウドサービスの活用やDXへの取り組みが進んでおり、インターネットへ公開しているサービスの数が多いことから、外部からの攻撃が盛んであることが考えられます。こういった傾向は、DXが進展するとともに日本でも増えていくと予想され、その対策に一層取り組む必要があります。

＊1　DoS攻撃／DDoS攻撃：
DoS（Denial of Service）は、システムのサービス継続を妨害すること。DoS攻撃のうち、攻撃元を分散させて防御を困難にした攻撃を、DDoS（分散型DoS）攻撃と呼ぶ。