IDC Japanは、2015年1月に実施した国内企業592社の情報セキュリティ対策の実態調査結果を発表した。情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策への企業の取り組みにの現状を調査し、今後の方向性について分析している。

■情報セキュリティ投資は増加傾向、投資を増やす企業と抑制する企業とで二極化
情報セキュリティ投資の増減率の調査では、2013年度と比べ「増加している」と回答した企業が20.6%となり、「減少する」(10.0%)を上回った。2015年度の投資見込みでは、2014年度を上回るとした企業は全体の21.0%で、モバイルセキュリティ対策を投資重点項目としている企業が多いことが判明した。

2015年度の情報セキュリティ投資は増加傾向となるが、セキュリティ脅威の変化に危機感を持って投資を増やす企業と、継続的なセキュリティ投資に対する効果が得にくいことから投資を抑制する企業とで二極化すると推測している。

■情報セキュリティ対策は内部脅威対策に遅れ
脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねた。ファイアウォール/VPN、PCでのアンチウイルスが7割以上と、外部からの脅威管理の導入が進んでいるが、情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理など内部脅威対策の導入は遅れている。

また、標的型サイバー攻撃向け非シグネチャ型外部脅威対策を導入している企業は6割程と、導入過程にあることがわかった。

■被害は産業機器へ拡大、収束時間も長期化
セキュリティ被害は、ウイルス感染被害に遭遇した企業が28.5%と最も多く、ファイルサーバーやWebアプリケーションサーバー、データベースサーバー、POSサーバー、ATMやキオスク端末などの産業機器へ拡大している。被害を発見してからの収束まで24時間を超えた企業の回答率が増加、収束時間は長期化している。セキュリティ被害の発見では、「社員からの報告」と「顧客やパートナーからの通報・連絡」が減少し、「第三者からの通報」の回答率が増加した。

■求められる経営層でのセキュリティ脅威の可視化
セキュリティインシデントは巧妙な攻撃手法によって潜在化し、インシデント量も増大するので、表面化すると事業継続に重大な影響を及ぼす。IDC Japanでは、「セキュリティインシデントの重大性を把握し、迅速な判断を下すため、企業のガバナンス/リスク/コンプライアンスに紐付けてリスク度合いを可視化することが重要である」と述べている。