セキュリティ人材は9割の企業で不足、NRIセキュアが調査

　セキュリティ人材が不足している企業は9割──。NRIセキュアテクノロジーズは3月28日、企業における情報セキュリティに関する調査結果を発表した。セキュリティ人材が不足し、新しいタイプの高度なサイバー攻撃への対応が遅れている実態が明らかになった。

　同社が実施したのは、国内の上場企業3000社を対象にした国内調査（2016年9月15日～10月14日実施）と、日本、米国、シンガポールの3カ国における国際比較調査（2016年11月21日から2016年12月5日実施）の二つ。国内調査の回答数は671社、国際比較調査の回答数は日本474社、米国500社、シンガポール134社。国際比較調査は従業員500人以上の企業の回答で比較している。

　調査結果によると、情報セキュリティの管理や社内システムのセキュリティ対策に従事する人材について、「不足している」「どちらかといえば不足している」と回答した企業は89.5％。前年の調査結果82.1％から7.4ポイント上昇し、セキュリティ人材の不足傾向がより顕著になっていることが明らかになった。

調査結果を説明するNRIセキュアテクノロジーズの金子洋平氏。セキュリティ人材が不足しているという回答は9割におよぶ。

[画像のクリックで拡大表示]

　ただしそうした状況にもかかわらず、セキュリティ人材の獲得、強化施策を実施していないと答えた企業が30.8％もあったという。調査を担当したNRIセキュアテクノロジーズ コンサルティング事業本部 ストラテジーコンサルティング部 セキュリティコンサルタントの金子洋平氏は「どのような人材が必要なのかもわからないという企業が少なくない」と、人材獲得が進まない要因の一つを説明する。

　人材不足については、国際比較調査した米国やシンガポールに比べ、日本企業で顕著だ。企業のセキュリティ担当者として最も対応に困っていることとして、「専門性のある人材の不足」を挙げた企業が、米国の11.4％、シンガポールの12.7％に対して、日本では43.2％と半数弱に及ぶ。

　企業が受けているサイバー攻撃については、標的型メール攻撃やランサムウエアといった比較的高度な攻撃が増えている。過去1年間で標的型メール攻撃による事件・事故が発生したという回答は、前年の17.3％から34.1％に倍増。今回から新たに調査項目に加えたランサムウエアについても、32.5％と高い値となっている。

標的型メール攻撃やランサムウエアによる金銭などの要求が増えている。

[画像のクリックで拡大表示]

　より高度な攻撃が増えているにもかかわらず、セキュリティ対策は基本的な対策にとどまっている。例えば、成りすましメールへの対策として、メールのウイルスチェックは88.8％の企業が実施しているのに対し、受信メールの添付ファイルの拡張子規制を実施している企業は34.9％にすぎない。また、公開サーバーへの攻撃対策についても、ファイアウオールを導入している企業は95.8％に達するのに対して、Webアプリケーションファイアウオールを導入している企業は22.7％だった。

　そのほか国際比較調査では、CSIRT（コンピュータ・セキュリティ・インシデント・レスポンス・チーム）の構築率が米国、シンガポールに比べて低いこともわかった。CSIRTを「構築済み」「情報システム部門が類似機能を果たしている」「構築中」「検討中」と回答した企業は、米国の88.0％、シンガポールの88.9％に対して日本は70.5％だった。

　こうした調査結果を受け、NRIセキュアテクノロジーズでは、組織横断的な情報セキュリティ戦略の推進の必要性を提言する。セキュリティ施策を全社的に束ねるセキュリティ統括組織を設置し、CISO（最高情報セキュリティ責任者）のリーダーシップの下で、部門横断の施策を実施できるようにすべきという。人材不足に関しても、「セキュリティ部門だけでなく、人事部門やビジネス部門と連携して進める必要がある」（金子氏）とした。