2016年は、多くの企業でセキュリティ事故が発生した。米国では、大手インターネットサービス事業者がサイバー攻撃によって5億人分の個人情報が流出したと発表。その後、同社は3年前にもサイバー攻撃を受け、10億人分の個人情報が流出していたことが明らかとなった。日本においても、官公庁などのホームページに国際的なハッカー集団の攻撃とみられるサイバー攻撃が相次いだ。折しも2015年12月に経済産業省と情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」を公表し、経営者のリーダーシップの下での情報セキュリティ対策推進が期待されていた矢先のことであった。

 ここ数年、ばらまき型や標的型の偽装メールによる攻撃が多発するとともに巧妙化が進んだことに加えて、企業のビジネスデータを消失させてしまうランサムウエアによる被害の拡大、IoT(インターネット・オブ・シングズ)機器の普及に伴う情報セキュリティ対策範囲の拡大など、企業の経営や事業継続に影響を与える事案が数多く発生している。これらにいかに対処していくかが、企業にとって大きな課題となっている。

 日本情報システム・ユーザー協会(JUAS)が例年実施している「企業IT動向調査」の2016年度調査では、情報セキュリティ関連費用の実態、経営と情報セキュリティの関係、情報セキュリティ対策の実施状況や企業に対するサイバー攻撃の実態などについて調べた。ここでは、その結果の一部を紹介する。

情報セキュリティ関連費用は増加

 まず、セキュリティ予算について見ていこう。図1は、IT予算全体に対する情報セキュリティ関連費用の割合を、企業の売上高別に分類した結果である。

図1●IT 予算に占める情報セキュリティ関連費用の割合(売上高別)
図1●IT 予算に占める情報セキュリティ関連費用の割合(売上高別)
(出所:日本情報システム・ユーザー協会)
[画像のクリックで拡大表示]

 全体としては、2015年度調査に比べて、IT予算全体に対する情報セキュリティ関連費用が「5%未満」の割合は9.7ポイント減少しており、逆に「10~15%未満」と「15%以上」を足した割合は9.6ポイント増加している。このことから、全体的な傾向として情報セキュリティ関連費用は増加していると言える。昨今のサイバー攻撃の増加などを踏まえ、各企業で情報セキュリティ対策の強化が進んでいる表れだろう。

 売上高別に見るとどうだろうか。IT予算全体に占める情報セキュリティ関連費用の比率が「10~15%未満」と「15%以上」を足した割合について、2015年度調査からの増加度合いに着目すると、売上高100億円未満では7.3ポイント、100億以上1000億円未満では9.4ポイント、1000億以上1兆円未満では10.2ポイントと、売上高が大きくなるにつれて増加度合いが増える。

 ただ売上高1兆円以上では5.7ポイントの増加にとどまった。この規模の企業では、既に比較的多くの費用を情報セキュリティに割り当てているためと考えられる。