写真●IDC Japan、ソフトウエア&セキュリティグループ、リサーチマネージャーの登坂恒夫氏
写真●IDC Japan、ソフトウエア&セキュリティグループ、リサーチマネージャーの登坂恒夫氏
[画像のクリックで拡大表示]

 IT専門調査会社のIDC Japanは2015年4月22日、国内企業の情報セキュリティ対策の実態について調査結果を発表した(写真)。(1)セキュリティへの投資の動向、(2)セキュリティ被害の状況、(3)セキュリティ対策製品の導入状況について調べた。これによると、投資意欲は大企業と小規模企業とで二極化。セキュリティ被害の対象はクライアントPC以外へと拡大。製品選択では内部関係者によるデータ窃盗への懸念が低い。

 前回調査から1年後の2015年1月に調査を実施し、592社から有効な回答を得た。回答者の業種や規模に偏りがないようにした。回答者の属性は、情報システム部門やセキュリティ関連部門など、セキュリティ製品の導入について権限を持つか、または意見を言う立場にある人が中心だ。

小規模企業はセキュリティ対策に予算を割けない

 (1)の投資動向のポイントは、投資意欲が企業規模に応じて二極化している点。企業規模が大きいほど、セキュリティに予算を割くことができる傾向にある。社員3000人以上の大企業では、37.6%が投資額を増やすと回答し、減らすとの回答は11.8%しかない。一方で、社員10人から99人の小規模企業では、減らすと回答した企業数が増やすと回答した企業数を上回る。

 投資における全体的な傾向はこうだ。リーマンショック以降、2010年までは投資額が減少傾向にあったが、2011からは標的型攻撃などの新たな脅威が出てきて増加傾向へと転じた。2015年も投資を増やす企業が投資を減らす企業を上回り、投資を増やす企業の比率は年々高まってきている。

サーバー被害が増加、第三者からの通報で発見

 (2)の被害状況のポイントは、被害対象が拡大している点。最も被害を受けたIT資産はクライアントPCのままで変わらないが、2014年から2015年にかけてクライアントPCの比率が71.1%から68.1%へと減り、その分、ファイルサーバーやデータベースサーバーなどのサーバー資源や、キオスク端末などの専用端末が増えた。

 被害を発見したきっかけは、社員からの報告が37.5%から35.1%に減り、顧客やパートナーからの報告が22.8%から20.2%へと減った。この一方で、第三者からの通報が11.6%から13.8%へと増えた。IDC Japanの登坂恒夫氏は「問題が表面化してから通報を受けるケースが増えているのではないか」と見る。被害を発見してから収束するまでの時間も長期化しており、収束に要した時間が24時間を超えた企業は34.5%から44.1%へと増えた。

内部犯行の対策製品は導入が進まず

 (3)の導入状況のポイントは、社員やパートナーなどの内部関係者によるデータ窃盗に対する懸念が低い点。ファイアウォールの80.0%やウイルス対策の72.8%など、外部からやってくる不正攻撃への対策製品が導入率の上位を占めている。また、未知のマルウエアを検出するサンドボックスなど非シグネチャ型の脅威対策の導入率も59.0%と低く、まだ導入過程にある。

 個人情報保護への対応で注目している対策についての調査では、ファイアウォールによる侵入検知が32.6%を占める。この一方で、暗号化は18.8%、データベースセキュリティが16.9%など、情報に近いところで漏えいを食い止める対策への注目度が低い。