EN

NRIセキュア ブログ

日本企業のセキュリティ課題の1位は「インシデント対応」|NRIセキュア調査結果

目次

     Businessman being depressed by accounting in his office

     当社で実施した「企業における情報セキュリティ実態調査2018」の結果を、テーマ毎に公開しています。本調査は、NRIセキュアが2017年12月から2018年3月にかけて、日本を含む5か国を対象に実施したものです。その中で、今回は「セキュリティ対策」に関連した調査結果をまとめました。
     ブログの最後には、調査レポー
    トを無料ダウンロードできるご案内をしています。

     

     

    新規CTA

    • <調査概要>
       対象:日本、米国、英国、シンガポール、豪州企業の情報システム・情報セキュリティ担当者
       回答企業数:計1110 社 ( 日本:107 社、米国:500 社、英国:197 社、シンガポール:210 社、豪州:96 社)

    日本企業のセキュリティ担当者はインシデント対応に疲弊気味

     日本企業のセキュリティ担当者は、海外企業のセキュリティ担当者に比べ、緊急で発生するインシデント対応に疲弊気味であることがわかりました。まず、「セキュリティ担当者として最も対応に困っていること」の結果を見ていきましょう。

    セキュリティ担当者として最も対応に困っていること

     日本企業と海外4か国企業では、対応に困っていることの傾向が異なることがわかります(図1)。日本は5か国の中で唯一、"セキュリティインシデント発生時の緊急対応"が1位という結果でした。

     

    insight2018_security_measures_1
    図1 セキュリティ担当者として最も対応に困っていること

     

     また、"セキュリティ対策実施のきっかけや理由"の結果を見ても、海外4か国企業の1位は共通して「経営層のトップダウン指示」ですが、日本企業のみ1位が「自社のセキュリティインシデント」でした(図2)。海外4か国ではCISOに経営層が就任し、中長期的なセキュリティ計画を策定している企業の割合が多いため*、経営層の指示により前広にセキュリティ対策を実施する企業が多いのではないかと考えられます。一方で、日本企業はインシデントが発生してから対応する、という場当たり的な対応になりがちな企業の割合が高いことがわかりました。

     

    *

    経営の関与で企業のセキュリティは強くなる|NRIセキュア調査結果

     

    insight2018_security_measures_2
    図2 セキュリティ対策実施のきっかけや理由

     

     「起きてしまったインシデントに緊急で対応する」ことは、5か国のセキュリティ担当者に共通して発生する事象です。にも関わらず、日本企業のセキュリティ担当者が特に緊急のインシデント対応に悩んでいるのは何故でしょうか。その背景には様々な理由があるはずですが、考えられる理由として、日本企業と海外4か国企業における"定期的なセキュリティ対策評価実施状況"と"CSIRT構築状況"の差異が挙げられます。 

    セキュリティ対策評価の実施状況

     海外4か国は各国65%以上の企業が定期的に自社のセキュリティ対策状況を評価しており、日本企業の約40%という結果を上回りました(図3)。また、評価自体未実施であると回答する企業が日本は14%に上りました。

     

    insight2018_security_measures_3

    図3 セキュリティ対策評価の実施状況

     

     定期的なセキュリティ対策状況評価により自社の現状を把握しておくことで、インシデント対応のスピードと正確性、難易度に差が生じます。この「定期的なセキュリティ対策状況評価を実施していない」ということが、結果としてインシデント対応を難しくし、日本企業のセキュリティ担当者の大きな悩みの種になっている可能性があります。

    CSIRT構築状況

     海外4か国企業の約40%がCSIRTを単独組織で構築しており、兼任組織も含めれば70%以上の企業がCSIRTを構築済という結果となりました(図4)。一方で、日本企業の単独組織での構築率は6.5%と、海外4か国と比べると低いことがわかりました。また、現時点では構築していないと回答する企業は49.5%に上り、半数近くの企業がCSIRTを構築していない実態が明らかとなりました。

     

    insight2018_security_measures_4

    図4 CSIRT構築状況

     

     前述した"セキュリティ対策実施のきっかけや理由"の分析結果を踏まえると、日本は「インシデント発生を起因として対策を実施するが、次のインシデント発生に備えた体制作りはできていない」という企業が多いのではないかと考えられます。インシデント発生時に体制が整備されていないが故に迅速な対応ができないことも、インシデント対応が悩みになることの理由の一つではないでしょうか。

     

     CSIRTを構築することは組織としてインシデント対応を行う上で非常に重要です。しかし、CSIRTの構築率が日本より高い米・星・豪のセキュリティ担当者も"最も対応に困っていること"の上位に「セキュリティインシデント発生時の緊急対応」を選んでいます。また、海外4か国の上位に選ばれた「セキュリティ脅威・事故に関する情報収集と関係者共有」は、CSIRTの平時の活動における悩みです。よって、CSIRTの分野では「構築」だけでなく、有効に機能させるための「運営方法の確立」に、各国のセキュリティ担当者が注力していることがうかがえます。

    最新技術の活用などによるセキュリティ業務の効率化を検討すべき

     "セキュリティ担当者として最も対応に困っていること"の日本企業の2位には「自社セキュリティ対策の遅れ(最新技術・動向の未反映)」が選ばれました。事実、シャドーIT*対策としてCASB**等の最新技術を導入している日本企業の割合は、海外4か国企業の割合と比較すると低い結果となりました(図5)。

     

    *シャドーIT:企業で使われる情報システムや情報機器、ソフトウェア、クラウドサービス等のうち、会社の承認なく従業員が利用しているもの。または各部門が会社の承認なく独自に導入し、情報システム部門の管理が行き届いていない情報システム

    **CASB(Cloud Access Security Broker):シャドーITの可視化やクラウドサービスへのアクセス制御を行うセキュリティソリューション

    シャドーIT対策としてCASB等のシステムを導入している企業

     

    insight2018_security_measures_5

    図5 シャドーIT対策としてCASB等のシステムの導入している企業

     

     働き方改革やビジネスのデジタル化に伴いシャドーITの脅威が増す中で、CASB等のシステム導入をシャドーIT対策の一つの選択肢として検討することは非常に有益だと考えます。また、以前紹介したEDR*のような最新技術を活用することで、インシデント発生時の対応負荷を軽減することが期待できます。

     

     しかし、最新技術導入のためには高額の費用が発生することが多々あります。また、インシデント対応に追われがち故、新たな施策を実施するための時間や人手が不足しているセキュリティの現場も多いのではないかと思います。自社に必要な対策を実施するためのリソースを確保するためには、経営層の理解とリーダシップが欠かせません。まずは自社のセキュリティ対策状況や抱えるリスクを経営層と現場で共有し、必要な対策を実施できる環境を整えることから始めてはいかがでしょうか。

     

    *IoT機器へのサイバー攻撃の最新実態|25億件の通信分析から見えたこと

    定期的な対策状況の評価は、セキュリティレベルの向上に繋がる

     今回の調査の結果、日本企業と海外4か国企業ではセキュリティ対策に係る悩みに差異があり、日本企業のセキュリティ担当者はインシデントの発生に伴う緊急対応に疲弊気味な現状が明らかとなりました。
     加えて、当社のセキュリティ対策状況可視化サ
    ービス(Secure SketCH)のデータと突き合せた更なる分析結果によると、自社のセキュリティ対策状況を定期的に評価している企業の方が、そうでない企業に比べてセキュリティ対策のレベルが高くなるという傾向も明らかになりました。

     

     以下の報告書では、本ブログ記事の内容に加えて、「セキュリティ経営」、「セキュリティ人材」、「脅威・事故」編の詳細分析結果、及びSecure SketCHのデータを掛け合わせた日本企業に関する更なる分析結果をまとめています。ぜひダウンロードしてみてください。

     

    新規CTA

    関連記事:企業における情報セキュリティ実態調査2018

     

    01 セキュリティ経営編 

    02 セキュリティ人材編

    03 脅威・事故編 

    04 セキュリティ対策編(本記事)

    Insight 2018 全体総括:日本企業が目指すべきセキュリティ経営

     当社が毎年実施している「企業における情報セキュリティ実態調査」は今回で16回目となりました。昨年度から調査対象を海外まで広げ、今回は初の5か国を対象とした調査を実施いたしました。

     

    日本と海外4か国の調査結果を比較した際のポイントは、主に以下3点です。

       

    ①セキュリティ経営の分野で改善の余地がある日本企業が多い
    ②日本企業のセキュリティ担当者は特に、インシデント対応に疲弊気味
    ③海外4か国企業はセキュリティ業務の自動化・省力化・標準化を積極的に行い、業務効率化を推進している

     

     

     日本企業は海外4か国企業と比較すると経営層がセキュリティに関与する割合が低く、それ故に中長期計画が策定できない、リソース(人材・予算)不足、インシデント対応体制(CSIRT)未構築といった状態になってしまっている企業が多く見受けられました。人材不足かつインシデント対応体制が未構築な状態で発生するインシデントに場当たり的な対応を強いられることで、建設的なセキュリティ対策が中々進められない企業も多いと思料します。

     

     計画策定、リソース確保、体制構築等を現場部門だけで行うのは難しく、経営層の関与が欠かせません。そのためには、経営の意思決定に関与できるCISOを設置し、経営層と現場が一体となって対策を進めていくことが重要です。また、多忙を極めるセキュリティ担当者自身が業務の見直しを図ることも簡単なことではないと思います。ですので、ビジネスのデジタル化や働き方改革が進む今、海外4か国が推進するようなセキュリティ業務の自動化・省力化・標準化を経営層主導で行っていくことも非常に重要であると考えます。

     

     なお、今後もSecure SketCHの会員の方を対象とした企業のセキュリティ実態調査を行い、Secure SketCH上やブログによる調査結果報告を実施することを予定しておりますので、ご期待ください!

     


     上記報告書の分析に用いたセキュリティ対策レベルは、Secure SketCHに登録するとすぐに自社のスコアがご覧いただけます。この機会に、無料で始められるSecure SketCHに新規登録し、自社の状況を見える化してみてはいかがでしょうか。

     

    Secure SketCHへの新規登録(無料)はこちらから!

    Secure SketCH サービス紹介はこちら