2018年 国内企業の情報セキュリティ対策 実態調査を発表


2018年5月15日
IDC Japan株式会社
 ·  2018年度の情報セキュリティ投資は2017年度に続き増加傾向である。だが、約6割の企業では、セキュリティ予算は決められておらず、戦略的セキュリティ投資がなされていない
 ·  ネットワークセキュリティとアイデンティティ/アクセス管理で、オンプレミスの導入よりクラウドサービスの利用を検討している企業が多い
 ·  EU 一般データ保護規則(GDPR)を知っている企業は、国内企業全体では半数以下である。また、EU圏でビジネスを行っている企業の中で対策済みの企業は2割弱で対策が遅れている

IT専門調査会社 IDC Japan 株式会社(所在地:東京都千代田区九段北1‐13‐5、代表取締役社長:竹内正人、Tel代表:03-3556-4760)は、2018年1月に実施した、国内企業812社の情報セキュリティ対策の実態調査結果を発表しました。


これによると、2018年度の情報セキュリティ投資を増やす企業は、ネットワークセキュリティを投資重点項目としている企業が多いことが判明しました。しかし、約6割の企業では、セキュリティ予算は決められておらず、投資額は前年度と変わらないと回答しています。また、セキュリティ人員に対して、6割以上の企業が既存の人員で十分と思っており、TCOの観点から人員を配備している企業は2割に満たない状況が判明しました。2018年度の情報セキュリティ投資は、2017年度に続き増加傾向ですが、まだ多くの企業は明確なセキュリティ予算を持たず、戦略的なセキュリティ投資がなされていないとIDCは考えます。


今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねました。国内企業におけるセキュリティ対策の導入は外部からの脅威管理の導入が進んでいますが、内部脅威対策の導入は遅れています。また、ネットワークセキュリティとアイデンティティ/アクセス管理では、オンプレミスの導入よりクラウドサービスの利用を検討している企業が多いことが判明しました。


この1年間でセキュリティ被害に遭った企業は全体の14.2%で、1割近くの企業がランサムウェア感染の被害を受けています。前回(2017年1月)の調査結果と比較すると、セキュリティシステムの検知による発見が10ポイント以上増加しました。そして、発見してからの収束時間は、24時間以内と回答した企業は59.1%と前回調査の49.5%から増加しており、収束時間が短くなりました。そして、重大なセキュリティ被害に遭った企業は26.7%で前回調査の29.4%から減少し、さらに復旧や賠償金などにかかった費用が500万円以上と回答した企業は64.5%で前回調査の65.2%から減っています。非シグネチャ型検出技術による多層防御製品やセキュリティインシデントを分析するSIEM(セキュリティ情報/イベント管理)製品など最新技術を活用したセキュリティ製品市場に投入され、導入されてきていることで、重大化するセキュリティ被害を早期に検出できていることが影響しているとIDCではみています。


また、2018年5月25日に施行されるEU 一般データ保護規則(GDPR)を知っている企業は、EU圏でビジネスを行っている企業では9割と認知度が高いですが、既に対策済みの企業は2割未満で対策が遅れています。一方、国内企業全体で調査すると、過半数の企業がEU GDPRを知りませんでした。EU GDPRに対する重大な課題として、EU圏でビジネスを行っている企業はRTBF(Right To Be Forgotten:忘れられる権利)/削除する権利が、EU圏でビジネスを行っていない企業ではデータの暗号化および(または)匿名化が、最も多い結果となりました。


EU GDPRは、EU域外に拠点のある企業であってもEU域内の「個人データ」を扱う限り適用され、違反すれば巨額の罰金が企業に科せられます。情報漏洩した場合は72時間以内の報告義務が課せられています。EU GDPRでは、「Data protection by design and by default」が明記されており、システム設計の段階からデータ保護が考慮され、ビジネスプロセス上でデフォルトとしてデータ保護プロセスが導入されていることが求められます。悪用される恐れのある個人情報の保護を目的とした法案やガイドラインの作成では、パーソナルデータの収集と収集した目的、所有者からの同意、内容の正確さと訂正、データの保護と保管、データの移行と公開、そしてデータの破棄といった、個人情報保護に関するデータライフサイクル管理の原則が導入されています。「ユーザー企業においても、個人情報保護に関するデータライフサイクル管理の原則を行う必要がある。そして、このデータライフサイクル管理はビジネスプロセスに組み込まれて展開されることが重要である」とIDC Japan ソフトウェア&セキュリティのリサーチマネージャーである登坂 恒夫は述べています。


今回の発表はIDCが発行したレポート「2018年 国内情報セキュリティユーザー調査:企業における対策の現状」(JPJ42860118)にその詳細が報告されています。本調査レポートでは、2018年1月18日~28日に実施した情報セキュリティ対策の導入実態調査の結果に基づき、国内の企業(官公庁を含む)の情報セキュリティ対策の導入実態と今後の方向性について分析を行っています。調査内容には、情報セキュリティ投資、情報セキュリティ対策導入状況、情報セキュリティサービスの利用状況、個人情報保護法や情報漏洩対策に代表されるコンプライアンス強化への企業の取り組みなどが含まれます。



(※詳細については へお問い合わせ下さい。)


レポート概要はこちら   2018年 国内情報セキュリティユーザー調査:企業における対策の現状



<参考資料>

2012年度(会計年)~2018年度(会計年)の情報セキュリティ関連投資の前年度と比較した増減率
2012年度(会計年)~2018年度(会計年)の情報セキュリティ関連投資の前年度と比較した増減率

 

Source:IDC Japan, 5/2018

 

報道関係の方のお問い合わせ先
IDC Japan(株)
マーケティング 寺田 和人
TEL:03-3556-4768 FAX:03-3556-4771
Email:
一般の方のお問い合わせ先
IDC Japan(株)セールス
TEL:03-3556-4761 FAX:03-3556-4771
Email:
URL:https://www.idc.com/jp
 
IDC発行物の内容を引用する際は、IDCによる承諾が必要です。
引用をご希望の際は、IDC Japanの担当営業、または へお問い合わせください。