開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2019/08/02

「予算1割未満が7割」、情報セキュリティにカネをかけない日本企業の実態

DX(デジタルトランスフォーメーション)時代に対応する情報セキュリティ対策が経営戦略に欠かせなくなってきた。AIやブロックチェーンなどの先端技術を駆使するデジタルビジネスのリスクが、これまでのものとは異なるからだ。たとえば、大手小売業がQRコード式決済システムの稼働を急いだ結果、大きな事件や事故に発展した。セキュリティ対策を盛り込んだ経営戦略は、経営がデジタルビジネスのリリースを判断する基準にもなる。NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」から、日本と米国、シンガポールの企業における情報セキュリティ対策の実態を見る。

ITジャーナリスト 田中克己

ITジャーナリスト 田中克己

日経BP社で日経コンピュータ副編集長、日経ウォッチャーIBM版編集長、日経システムプロバイダ編集長、主任編集委員などを歴任し、2010年1月からフリーのIT産業ジャーナリストとして活動を始める。2004年度から2009年度まで専修大学兼任講師(情報産業)、2012年度から一般社団法人ITビジネス研究会代表理事を務めるなど、40年にわたりIT産業の動向をウォッチする。主な著書に「IT産業再生の針路」「IT産業崩壊の危機」(ともに日経BP社)がある。

photo
DX時代の情報セキュリティはこれまで異なる考え方が必要だ
(Photo/Getty Images)

セキュリティ対策遅れが表面化する日本企業

 NRIセキュアの実態調査によると、DXに取り組む日本企業は30.7%と、米国企業(85.3%)、シンガポール企業(85.6%)の半分にも満たない。

画像
日本企業は、他2カ国に比べてDXへの取り組みが遅れている
(出典:NRIセキュアテクノロジーズ 報道発表)

 DXに必要なスキルやナレッジを持つ人材の育成や獲得に課題があるからだ。デジタル化への経営層の後押しが弱いことも影響する。調査回答者の情報システム担当者や情報セキュリティ担当者らの3割弱がDXを「分からない」との回答からも、デジタル対応への遅れがうかがえる。

DXでセキュリティのルールが変わった

 DXに取り組む企業の半数以上がセキュリティ対策を実施している。その多くが「DXでセキュリティの要請が変わっている」と認識し、ルールや対策更新などに対応したり、対応の検討を予定したりする。だが、先進的なセキュリティ製品やサービスを導入する日本企業はまだ少ない。

 「ユーザーのクラウド利用の可視化や制御」や「セキュリティ運用の自動化および効率化技術」「遠隔地からの端末脅威探索、アラート、インシデント時の隔離や分析の実施」といった既存ビジネスの業務プロセスを改革するフェーズ(DX1.0)の対策は進めている。

 一方、「セキュリティチェックの継続的開発運用プロセスへの組み込み」や「アプリケーションセキュリティの動的テスト」などビジネス変革フェーズ(DX2.0)に必要なソリューションを導入する企業は極めて少ない。

画像
日本企業において、DXに関わる先進的なソリューションの導入率は低い
(出典:NRIセキュアテクノロジーズ 報道発表)

 理由の1つは、デジタルビジネスのリスクに対する認識不足にある。当然、「QR式決済」だけの話ではない。不十分なアカウント管理やアクセス制御が不正アクセスを許し、サービス停止に追い込まれた事件は枚挙に暇がない。

 NRIセキュアの足立道拡GRCデジタルプラットフォーム部部長は「開発・提供するサービスを使う人、使い方を議論し、どんなレベルになったら、サービスをローンチするのかあらかじめ決めておくこと。それをマネジメントとテクノロジーの両面から考える」と説明する。

 ビジネスのスピードだけを重要視し、セキュリティ対策を後回しにすると、大きな事件や事故につながる可能性を指摘する。ハイブリッドクラウドなど新しいテクノロジーがリスクを高めることも理解しておく必要があるという。

情報セキュリティ責任者に就く経営層は増えているが……

 そんな情報セキュリティ対策を経営戦略ととらえる企業は、経営層をCISO(最高情報セキュリティ責任者)に就けている。ちなみに、日本企業の5割強がCISOを設置し、その7割近くが経営層である。

 米国やシンガポールの企業も、ほぼ同じ割合で経営層がCISOになっているが、CISOを設置する割合が両国とも8割超と高い。セキュリティ事件、事故の影響を最小化する専門チームともいえるCSIRTを設置する日本企業も少ないという。

画像
日本企業のCISO設置率は約50%だが、他2カ国は約85%
(出典:NRIセキュアテクノロジーズ 報道発表)

 それらの差がセキュリティ予算に表れている。IT関連予算に占めるセキュリティ関連予算の割合が10%以上とする回答は、日本企業の約30%に対して、米国企業は80%弱、シンガポール企業は70%弱になる。新しいセキュリティ対策に振り向ける費用も、海外企業に比べて日本企業は少ない。サイバー攻撃や個人情報保護の重要性が、いまだ十分に浸透していないことも要因だろう。

 たとえば、GDPR(EC一般データ保護規制)の対応を「不要」とする回答が約32%もある。対象となるデータを保持していないからだが、個人情報などデータの扱い方のルールは変わることを考えておく必要はあるだろう。

【次ページ】増える情報セキュリティ責任者に就く経営層

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!