調査会社のIDC Japanは2015年4月22日、国内企業の情報セキュリティ投資に関する調査結果を発表した。国内企業592社を対象として調査で、それによると、2015年度の情報セキュリティ投資(見込み)が「2014年度を上回る」とした企業は全体の21.0%で、「減少する」と回答した企業の9.3%を大きく上回った(図)。情報セキュリティ投資を増やすとした企業の多くが、モバイルセキュリティ対策を重視しているという。
今回の調査では、国内企業の2014年度の状況も明らかになった。それによると、情報セキュリティ投資が2014年度も前年度比で「増加している」と回答した企業が20.6%に達し、「減少する」と回答した企業の10.0%を上回っている。
一方、投資額を減らすと回答した企業を分析すると、2014年度では「10%減~19%減」と回答した企業が多かったのに対し、2015年度では「微減~9%減」という企業が多いという。この結果から、同社では2015年度の情報セキュリティ投資は、2014年度に続き増加傾向となると指摘。ただし、セキュリティ脅威の変化に危機感を持って投資を増やす企業と、継続的なセキュリティ投資に対する効果が得にくいことから投資を抑制する企業とで二極化してくると分析した。
同社では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目について調査し、国内企業がどのようなセキュリティ対策をとっているかも明らかにした。それによると、ファイアウォール/VPN、PCでのアンチウイルスが7割以上と外部からの脅威管理の導入が進んでいることが判明。一方、情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入は外部脅威対策に比べ遅れているという。巧妙化する標的型サイバー攻撃向け外部脅威対策である、サンドボックスエミュレーション技術などを活用した非シグネチャ型脅威対策の導入率は6割程で、導入の進展過程にあるという。
セキュリティの被害に関する調査結果も発表。それによると、ウイルス感染被害に遭遇した企業が28.5%で調査項目の中で最も多い結果となった。2014年1月に実施された前回の調査結果と比較すると、ファイルサーバーやWebアプリケーションサーバー、データベースサーバー、POSサーバー、ATMやキオスク端末などの産業機器でセキュリティ被害を受けたと回答した企業の比率が高くなったという。
セキュリティ被害が発見されてからの収束時間も、前回と比べると「24時間以内」の回答率が減少し、24時間を超えた企業の回答率が増加。同社では、収束時間が長期化する傾向にあると指摘している。セキュリティ被害を発見した経緯についても、「社員からの報告」と「顧客やパートナーからの通報もしくは連絡」の回答率が減少し、「第三者からの通報」の回答率が増加。セキュリティ被害に遭遇するリスクが高まる一方で、セキュリティ被害については第三者からの通報で発見されるケースが多くなっているという。このことから、同社では、セキュリティインシデントの重大化が進んでいると分析している。
[IDCの発表資料へ]
