ニュース
標的型攻撃が増加するもセキュリティ投資額は「現状維持」~NRIセキュア調べ
セキュリティ人材の不足、BCPの不完全さを指摘
(2013/1/9 17:30)
株式会社NRIセキュアテクノロジーズ(NRIセキュア)は9日、企業における情報セキュリティ実態調査に関する説明会を開催した。調査の目的は、日本企業における情報セキュリティに対する取り組み状況に明らかにすること。2012年8月24日~10月4日に郵送によるアンケートで調査し、741社の回答を得た。
この調査から「セキュリティ人材の不足」「増やせぬセキュリティ対策費用と本格化する標的型攻撃」「見直しが迫られるBCPとIT-BCP」「スマートデバイスのセキュリティ対策の遅れ」といった4つの傾向が読み解けるという。
「セキュリティ人材の不足」については、売上規模に関係なく8割以上の企業でセキュリティ人材の不足を感じていた。特に海外拠点でのセキュリティ統制に遅れが見られた。
NRIセキュアは「今後もしばらくはセキュリティ人材の不足は改善されない。外部人材の有効活用と内部人材の育成のための人材確保計画が必要である」とした。
「増やせぬセキュリティ対策費用と本格化する標的型攻撃」については、まず売上規模が大きい企業ほど標的型攻撃で狙われる傾向が明らかになった。全体では30%の企業が「標的型攻撃の経験あり」とする一方で、昨年度と比較した情報セキュリティ投資額は「現状維持」が1割増加、「増える」が23%から20%に減少した。特に「標的型攻撃理解のための研修」「社内セキュリティ対策チームの設置」「標的型攻撃対策の実地訓練」といったマネジメント面での対策に遅れが見られた。
NRIセキュアは「セキュリティリスクの評価を行い、事業への影響が大きいリスクに対して、重点的に対策を行うことが必要である」とした。
「見直しが迫られるBCPとIT-BCP」については、まずBCP/IT-BCPともに策定済みだった企業は24%(175社)にとどまり、どちらも未策定の企業が51%(381社)にのぼった。また、BCPを策定している企業でも、約3割は“重要業務・サービスの絞り込み”や“目標復旧時間の設定”が不足しており内容が不十分だった。
また、IT-BCPは事業継続計画と整合性を取る必要があるにもかかわらず、約3割の企業で整合性が確認されていなかった。一方で東日本大震災の影響か、「どのような情報セキュリティ対策を重視したいと考えるか」という問いに対して、「BCPの策定と改善」とする回答が41%で最も多かった。
NRIセキュアは「国際規格やクラウドサービスなどを上手に活用し、BCP/IT-BCPの作成・見直しおよび継続的改善を行うことが必要である」とした。
「スマートデバイスのセキュリティ対策の遅れ」については、まずスマートデバイスの業務導入方針として「積極的に導入する」が53%と過半数。一方で「端末の紛失・置き忘れ」が32%の企業で発生しており、スマートデバイスのセキュリティ統制を重点課題とする企業が、昨年度の8%から39%と急増した。
BYODについては全体の73%が「導入予定なし」と回答。「導入済み」が22%と最も多い通信・情報処理・メディアにおいても、61%が「導入予定なし」としており、慎重派が多数。金融業ではほとんどが「導入予定なし」という状況だった。
NRIセキュアは「スマートデバイスの業務利用に向けて、スマートデバイスのためのセキュリティルール・管理体制の整備・見直しが必要である」とした。