09 Apr 2021

2021年 国内企業の情報セキュリティ実態調査結果を発表

Japan, 2021年4月9日 - IT専門調査会社 IDC Japan 株式会社(所在地:東京都千代田区九段北1‐13‐5、代表取締役社長:竹内正人、Tel代表:03-3556-4760)は、2021年1月に実施した、国内企業883社の情報セキュリティ対策の実態調査結果を発表しました。

調査対象企業に対して2020年度(会計年)の情報セキュリティ投資の増減率を調査した結果、2019年度(会計年)と比べ「投資を増やす」と回答した企業が31.0%となり、「投資を減らす」と回答した企業14.3%を上回りました。ただし、2019年度(会計年)は「投資を増やす」と回答した企業が36.4%で「投資を減らす」と回答した企業9.9%を大きく上回っていました。この結果から2020年度の情報セキュリティ投資は、2019年度と比べ投資意欲は弱まりました。また、2021年度(会計年)の情報セキュリティ投資見込みでは、2020年度を上回るとした企業は全体の30.6%となり、下回ると回答した企業14.9%を上回り、情報セキュリティ投資は増加傾向にあります。そして、2020年度の情報セキュリティ投資を増やす企業は、ネットワークセキュリティとアイデンティティ/アクセス管理、クラウドセキュリティを投資重点項目としている企業が多いことが判明しました。しかし、56.6%の企業では、セキュリティ予算はきめられておらず、計画的なセキュリティ投資がなされていません。問題が起きてからセキュリティ対策をするのではなく、計画的なセキュリティ投資による対策強化を図っていくことが必要であるとIDCは考えます。

今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など12項目の情報セキュリティ対策について導入状況を尋ねました。国内企業におけるセキュリティ対策は外部脅威対策が進んでいますが、情報漏洩対策やデータ管理などの情報ガバナンス強化とコンプライアンス対応への対策は遅れています。また、クラウドサービスを利用している企業では、クラウド環境でのマルウェア感染とサイバー攻撃によるデータ消失を懸念している企業は多く、それと同じくらい人為的ミスによる情報漏洩を懸念している企業は多いです。クラウドサービスの利用においてはポスチャー管理ソリューションなどを導入し、設定ミスなどの人為的なミスを回避する必要があるとIDCは考えます。

直近の1年間でセキュリティ被害に遭った企業は全体の56.3%で、その内42.5%の企業がランサムウェア感染の被害を受けています。ランサムウェアに感染した企業の半数以上がセキュリティベンダーに相談し、暗号化ツールで復旧しています。また、セキュリティシステムでインシデントを検出した企業は5割弱で、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業は2割程度であり、セキュリティシステムだけで全てのインシデントを検出できる状況ではありません。前回調査(2020年1月)と比較すると、セキュリティシステムでインシデントを検出した企業の割合は減少し、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業の割合が増加しています。セキュリティ被害が起こることを前提に、被害の発生を早期の検知し対処できるセキュリティ製品の導入と組織体制の構築が被害を最小限に抑える対策になるとIDCは考えます。

また、リモートワークを実施している企業およびリモートワークを検討している企業が懸念しているセキュリティ脅威は、エンドポイントデバイスでのマルウェア感染が最も多く、次いでオンプレミスのIT資産、そしてクラウドサービスへの不正アクセスによる情報漏洩でした。従来オフィス内で守られていたエンドポイントデバイスや社員が在宅勤務となり、その結果、利用しているエンドポイントデバイスやIT資産にアクセスするユーザーが信用できるデバイスまたは社員であるかどうか、懸念している企業が多いとIDCは考えます。リモートワークで強化したセキュリティ対策は、半数近くの企業がコンテキストなどによるアクセス管理とEDR(Endpoint Detection and Response)などのエンドポイントセキュリティでした。一方で、データの暗号化や鍵管理、データ検索やデータカテゴリーの分類などを行うeDiscoveryの導入を行った企業は3割未満と少ないです。オンプレミスのIT資産やクラウドサービスの不正アクセスによる情報漏洩を7割ほどの企業が脅威と感じている一方で、データの暗号化や鍵管理、eDiscoveryといったデータセキュリティの強化を図った企業は少なく、企業のデータセキュリティに対する投資優先度が低いことが原因とIDCは考えます。また、今後強化するセキュリティ対策ではあまり差異がなく、リモートワークで今後強化すべき対策がまだ明確になっていないと思われます。

リモートワークの利用拡大によって、インターネット回線からクラウドサービスを直接利用するユーザーが増え、従来の境界防御中心のセキュリティ対策では防御できなくなり、境界防御に依存しないセキュリティ対策が求められます。「企業は境界防御に依存しないセキュリティ対策として、エンドポイントセキュリティやアイデンティティ/アクセス管理、クラウド環境へのセキュリティ、情報漏洩対策といったデータセキュリティなど外部脅威対策だけでなく、内部脅威対策も含めた総合的なセキュリティ対策が必要になる。企業は、強化すべきセキュリティ対策の優先度を明確化し、計画的にセキュリティ投資によってセキュリティ強化を進めるべきである」と、IDC Japan ソフトウェア&セキュリティのリサーチマネージャーである登坂 恒夫 は述べています。

今回の発表はIDCが発行した2021 年 国内情報セキュリティユーザー調査:企業における対策の現状IDC Survey Spotlight: 2021 年 国内情報セキュリティユーザー調査 にその詳細が報告されています。本調査レポートでは、2021年1月に実施した情報セキュリティ対策の導入実態調査の結果に基づき、国内の企業(官公庁を含む)の情報セキュリティ対策の導入実態と今後の方向性について分析を行っています。調査内容には、情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策に代表されるコンプライアンス強化への企業の取り組みなどが含まれます。



<参考資料>

2014年度(会計年)~2021年度(会計年)の前年度に対する情報セキュリティ投資増減

Source: IDC Japan,4/2021

Coverage