ニュース

CSIRT構築済み企業は4割以上に、ただしセキュリティ人材不足の企業が依然8割以上

 NRIセキュアテクノロジーズ株式会社は27日、企業のセキュリティ担当者を対象とした情報セキュリティに関するアンケート調査の結果を公表した。企業のセキュリティ関連投資額は引き続き増加傾向にあり、セキュリティ問題に対して専門に対応する組織「CSIRT」を構築済みであるとする企業は全体の4割を超えた。一方で、セキュリティ対策に従事する人材については、8割以上の企業が不足していると答えている。

 調査は、国内の上場企業を中心とした3000社の情報システム/情報セキュリティ担当者を対象に郵送およびウェブによるアンケートを行ったもので、回答数は660社。調査時期は2014年8月29日~10月17日。

 企業のセキュリティ関連投資額については、昨年よりも金額が増えるという回答は全体の31.4%に上った。2013年の調査では26.1%、2012年の調査では19.6%となっており、セキュリティ関連投資額を増やす企業が増加している。

セキュリティ関連投資額は増加傾向

 一方で、セキュリティに従事する人材の充足状況については、82.9%が不足していると回答。過去3年間に渡って、不足しているという回答が80%を超える状況が続いている。不足している人材(複数回答)については、「脅威情報の収集・伝達や、発生したインシデントに対応する人材」(64.7%)、「セキュリティに関する中長期的な戦略・ポリシーを策定する人材」(64.0%)、「システムに対する不正な通信やアクセスなどを監視する人材」(55.0%)を多く挙がっている。

一方でセキュリティ人材は8割以上の企業が不足
「インシデント対応」「中長期的な戦略・ポリシー策定」「システム監視」の人材が不足

 2014年度に重視するセキュリティ対策については、「スマートデバイス利用時のセキュリティ対策・ルール整備」が40.0%で最も多い。また、「クラウドサービス利用時のセキュリティ対策・ルール整備」も24.8%で、この2項目が前年度調査よりも伸びている。

スマートデバイスやクラウドのセキュリティ対策を重視する企業が増加

 モバイルの業務利用については、「会社支給および個人所有端末どちらも利用」が22.6%、「会社支給端末のみ利用」が61.5%、「個人所有端末のみ利用」が2.1%で、8割以上が何らかの形で利用している。個人所有端末に対して、今後実施を検討している対策としては、端末内での業務用と個人用のデータやアプリを分離する「ラッピング/コンテナ型アプリの利用」への注目が高い。

モバイルの業務利用は8割以上の企業に
今後の対策としては「BYODにおける公私分離」への注目が高い

 クラウドサービス利用時に重視する項目としては、「データ保全対策」(48.8%)、「サービス事業者の企業としての信頼性」(47.1%)、「料金が安い」(45.9%)を挙げる回答が多い。クラウドサービスの利用形態としては、情報系システムにおけるGoogle AppsやOffice 365などのSaaSの利用割合が33.3%と高い。

クラウドで重視するのは「データ保全対策」「信頼性」「料金の安さ」
情報系システムにおけるSaaSの利用割合が高い

 Windows XPの移行状況については、「移行完了」が37.0%、「一部移行できないものを残している」が40.3%で、前年度調査(移行完了が10.4%)から対応が進んでいる。一方、2015年7月にサポート終了となるWindows Server 2003については、「移行完了」という回答は12.3%にとどまっている。

XPの移行は進んだが、Server 2003の移行はこれから

 社内CSIRTの構築状況については、41.8%が構築済み(または類似機能を情報システム部門で実施)と回答。2013年の19.0%から大きく増加している。

社内CSIRT構築済みの企業は4割以上に

 NRIセキュアテクノロジーズでは、2014年にはOpenSSLやbashの脆弱性、Windows XPのサポート終了、個人情報流出事案など、セキュリティへの関心が大きく高まった年だったと説明。こうした状況を踏まえて、セキュリティへの投資額増加やCSIRTの構築などが行われたと分析している。

 一方で、サイバー攻撃への対策状況では、事前の調査や侵入への対策は進んでいるが、内部に侵入を許してしまった場合や、内部関係者などからの攻撃、情報を搾取されてしまった場合への対応など、攻撃を受けた後の対策についてはまだ不十分だと説明。攻撃後の検知や対応などを含めた、多層防御が重要だとした。

 また、企業のセキュリティ担当部署に対しては、「セキュリティは『守り』から『攻め』の時代へ」とするメッセージを披露。中長期的視野でより先を見据えたセキュリティ戦略を立てることや、IT企画部署とセキュリティ部署の協業、クラウドやモバイルへの積極的な対応などが必要だと訴えた。

「セキュリティは『守り』から『攻め』の時代へ」として、より積極的な対応をセキュリティ担当部署に求めた

(三柳 英樹)