2014年の調査では、企業がセキュリティ対策を重視する傾向が明らかになった。標的型攻撃の対策を含めてこの分野への投資額が2013年から大幅に増えた。
セキュリティ
様子見が減った標的型攻撃対策
アンケート回答企業が実施したセキュリティ関連投資の単純平均額は、2013年の1137万円に対し2014年は1439万円と26.6%増加した。投資が増える最大の要因と見られるのが標的型攻撃への対策である。
2014年8月の調査時点で標的型攻撃対策を導入済みの企業は37.9%。2013年の31.1%から7ポイント近く増えた(図34)。導入する方向で検討している企業の3.3%を加えると、現時点で4割超の企業が対策を取ることになる。導入企業が増加した分、「導入するか否かを検討している」か「導入しない予定」の企業の割合は減った。
対策費用も増えている。標的型攻撃への対策を実施もしくは実施予定の企業が回答した年間対策費用は、2013年の834万円から2014年には1075万円と28.9%も増えた。これからの企業が対策に準備している「財布」も大きくなっているようだ。標的型攻撃対策をまだ実施していない企業が回答した「標的型攻撃対策に支払える金額」も今回調査で698万円と、2013年の422万円から65.4%増えた。
標的型攻撃を中心にセキュリティ関連投資が増えているのは、企業を巻き込んだ新しい攻撃手法や詐欺事件が絶えないことが背景の一つにあるようだ。日本で標的型攻撃への認知は2011年秋に一気に広まった。大手重工業メーカーや政府が標的になった攻撃が明らかになったことで、2012~2013年は製造業を中心とした大企業が対策に動き出した。
その後も、顧客情報やオンライン会員情報を狙った大規模な情報流出事件や、不正送金を試みる金融詐欺事件など、業種や企業規模を問わず企業が事件に巻き込まれるようになった。2013年から2014年にかけて、対策に手を染める企業のすそ野がより広がったようだ。
セキュリティ投資の動機を見ても、企業は脅威への危機感を強めて積極的な対策に動いている。2013年は、投資を実施する理由(複数回答)として「既存のセキュリティが保守期限を迎えた」と回答した企業が73.2%あったが2014年は65.8%に低下。一方、「新たな脅威に対応する必要があった」と回答した企業は2013年の21.0%から28.6%に増えている。「他社で発生した事故を見て対応した」との回答も2013年の9.5%から15.8%に増え、企業を脅かしたセキュリティ関連の事件が投資を促した面がうかがえる。
