• 会員限定
  • 2019/08/02 掲載

「予算1割未満が7割」、情報セキュリティにカネをかけない日本企業の実態

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
DX(デジタルトランスフォーメーション)時代に対応する情報セキュリティ対策が経営戦略に欠かせなくなってきた。AIやブロックチェーンなどの先端技術を駆使するデジタルビジネスのリスクが、これまでのものとは異なるからだ。たとえば、大手小売業がQRコード式決済システムの稼働を急いだ結果、大きな事件や事故に発展した。セキュリティ対策を盛り込んだ経営戦略は、経営がデジタルビジネスのリリースを判断する基準にもなる。NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」から、日本と米国、シンガポールの企業における情報セキュリティ対策の実態を見る。
photo
DX時代の情報セキュリティはこれまで異なる考え方が必要だ
(Photo/Getty Images)

セキュリティ対策遅れが表面化する日本企業

 NRIセキュアの実態調査によると、DXに取り組む日本企業は30.7%と、米国企業(85.3%)、シンガポール企業(85.6%)の半分にも満たない。

画像
日本企業は、他2カ国に比べてDXへの取り組みが遅れている
(出典:NRIセキュアテクノロジーズ 報道発表)

 DXに必要なスキルやナレッジを持つ人材の育成や獲得に課題があるからだ。デジタル化への経営層の後押しが弱いことも影響する。調査回答者の情報システム担当者や情報セキュリティ担当者らの3割弱がDXを「分からない」との回答からも、デジタル対応への遅れがうかがえる。

DXでセキュリティのルールが変わった

 DXに取り組む企業の半数以上がセキュリティ対策を実施している。その多くが「DXでセキュリティの要請が変わっている」と認識し、ルールや対策更新などに対応したり、対応の検討を予定したりする。だが、先進的なセキュリティ製品やサービスを導入する日本企業はまだ少ない。

 「ユーザーのクラウド利用の可視化や制御」や「セキュリティ運用の自動化および効率化技術」「遠隔地からの端末脅威探索、アラート、インシデント時の隔離や分析の実施」といった既存ビジネスの業務プロセスを改革するフェーズ(DX1.0)の対策は進めている。

 一方、「セキュリティチェックの継続的開発運用プロセスへの組み込み」や「アプリケーションセキュリティの動的テスト」などビジネス変革フェーズ(DX2.0)に必要なソリューションを導入する企業は極めて少ない。

画像
日本企業において、DXに関わる先進的なソリューションの導入率は低い
(出典:NRIセキュアテクノロジーズ 報道発表)

 理由の1つは、デジタルビジネスのリスクに対する認識不足にある。当然、「QR式決済」だけの話ではない。不十分なアカウント管理やアクセス制御が不正アクセスを許し、サービス停止に追い込まれた事件は枚挙に暇がない。

 NRIセキュアの足立道拡GRCデジタルプラットフォーム部部長は「開発・提供するサービスを使う人、使い方を議論し、どんなレベルになったら、サービスをローンチするのかあらかじめ決めておくこと。それをマネジメントとテクノロジーの両面から考える」と説明する。

 ビジネスのスピードだけを重要視し、セキュリティ対策を後回しにすると、大きな事件や事故につながる可能性を指摘する。ハイブリッドクラウドなど新しいテクノロジーがリスクを高めることも理解しておく必要があるという。

情報セキュリティ責任者に就く経営層は増えているが……

 そんな情報セキュリティ対策を経営戦略ととらえる企業は、経営層をCISO(最高情報セキュリティ責任者)に就けている。ちなみに、日本企業の5割強がCISOを設置し、その7割近くが経営層である。

 米国やシンガポールの企業も、ほぼ同じ割合で経営層がCISOになっているが、CISOを設置する割合が両国とも8割超と高い。セキュリティ事件、事故の影響を最小化する専門チームともいえるCSIRTを設置する日本企業も少ないという。

画像
日本企業のCISO設置率は約50%だが、他2カ国は約85%
(出典:NRIセキュアテクノロジーズ 報道発表)

 それらの差がセキュリティ予算に表れている。IT関連予算に占めるセキュリティ関連予算の割合が10%以上とする回答は、日本企業の約30%に対して、米国企業は80%弱、シンガポール企業は70%弱になる。新しいセキュリティ対策に振り向ける費用も、海外企業に比べて日本企業は少ない。サイバー攻撃や個人情報保護の重要性が、いまだ十分に浸透していないことも要因だろう。

 たとえば、GDPR(EC一般データ保護規制)の対応を「不要」とする回答が約32%もある。対象となるデータを保持していないからだが、個人情報などデータの扱い方のルールは変わることを考えておく必要はあるだろう。

【次ページ】増える情報セキュリティ責任者に就く経営層

関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます