写真提供:マイナビニュース

写真拡大

●年々長期化するセキュリティ被害の収束時間
IDC Japanは4月14日、2016年1月に実施した国内企業688社の情報セキュリティ対策の実態調査結果を発表した。この調査結果からどのような国内企業の実態が浮き彫りになったのか、国内企業はこの調査結果から何を学ぶべきなのか、本稿では探ってみたい。

○CIO/CSOを設置している企業の割合は?

ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、企業の情報セキュリティ対策を考えるうえで、重要なトピックとしてCIO(Chief Information Officer)/CSO(Chief Security Officer)の設置、経営者への報告状況を挙げた。

経済産業省が昨年12月、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進することを目的として、「サイバーセキュリティ経営ガイドライン」を公開している。同ガイドラインでは、サイバー攻撃から企業を守るため、経営者が認識する必要がある3原則などをまとめている。

調査の結果、CIO/CSOを設置している企業は全体の44.3%で、経営者に対する報告は半数近くが少なくとも1回は実施していることがわかった。従業員規模が大きいほど、CIO/CSOを設置している企業が多く、経営者に対して定期的に報告している企業も多くなっている。

○企業はセキュリティ投資をどう考えているか?

情報セキュリティへの投資について、2015年度(会計年)の増減率を調査した結果、2014年度(会計年)と比べ「増加している」と回答した企業が27.2%となり、「減少する」と回答した企業(10.5%)を上回った。

一方、登坂氏は「6割超の企業でセキュリティ投資額に変化は見られず、35.8%の企業は投資を具体的に計画していない」としている点を挙げ、多くの企業が前年度と同額の予算を確保しながら具体的な投資計画を持たず、既存の対策に投資していることがうかがえると指摘した。

また、昨年の結果と比べると、モバイルデバイスへのセキュリティ投資を増やすと回答した企業が減ったという。登坂氏は、その理由について、「2015年は大規模な標的型攻撃など、さまざまなセキュリティ事故が発生したことから、危機感が出てきて、脆弱性管理への投資を増やすという意向につながったのでは」との推測を示した。

○セキュリティ被害の収束時間が長期化する現状

過去1年間で遭遇したセキュリティ被害は、前回(2015年1月)の調査結果と比べると、ウイルス感染被害が減少したことに対し、サーバへの不正侵入や情報漏洩被害が増加したことが明らかになった。

被害を受けた資産は、クライアントPCが減少したが、それ以外の資産は被害が増加しており、被害を受ける資産が広がっていることがわかった。登坂氏によると、スマートフォンなどのモバイルデバイスやPBXは被害が少ないため、「その他」に含まれているという。

セキュリティ被害の発見方法については、セキュリティシステムによるインシデント検出が最も多く、57.1%と半数以上の企業がセキュリティシステムを活用している結果が出た。これには、企業でログを管理するシステムの導入が増えているという背景があるようだ。

さらに、登坂氏は「社員からの報告が減少しているのに対し、顧客、パートナー、第三者などの外部からの通報が増えている」ことを指摘した。このことは、セキュリティ被害の収束時間の長期化に影響を及ぼしている。というのも、外部からの通報を受けて、被害を知ると、まずはその状態を把握するために時間がかかり、そこから対策を講じることになるからだ。

「24時間以内に収束した」と回答した企業が、前回の調査は55.9%だったのに対し、今回は52.2%に減少している。対する「1週間以内」「1カ月以内」「1年未満」という回答はいずれも増加している。登坂氏によると、セキュリティ被害の収束時間は2014年度から2015年度にかけても伸びており、年々、長期化が進んでいることになる。

●情報セキュリティを向上するために取り組むべき2つのこと
○セキュリティ対策導入の最大の障壁は?

今回、情報セキュリティ対策を導入する際の課題についても調査を行った。その結果、約6割以上の企業が「予算」と回答しており、これに、「導入効果の測定が困難」(35.5%)、「導入作業」(33.3%)が続いている。

実際に導入されている情報セキュリティ対策は、ファイアウォール、ウイルス対策、IDS/IPSなど、いわゆる外部からの脅威を対象とした対策の導入率が高く、情報漏洩対策やセキュリティ情報/イベント管理、脆弱性管理など、内部の脅威を対象とした対策が遅れていることが明らかになった。

こうした状況について、登坂氏は「情報セキュリティ対策は導入状況と導入の課題は関連しているが、それには経営層に投資対効果を求められることがある。投資対効果が、外部脅威への対策はわかりやすいのに対し、内部脅威への対策は見えづらく、それが導入率につながっている」との見解を示した。

○企業は何をすべきか?

IDCは今回の調査結果を受けて、「経営者は自社のセキュリティリスクを把握する」「業界内やグループ企業内でセキュリティ対策レベルを平準化する」ことを提言としている。

前者については、半数以上の企業でCIO/CSOを設置しておらず、これらの企業では経営者に対してセキュリティに関する報告が行われていないことを踏まえ、CIOやCSOを車内設置し、セキュリティのリスクを把握することが必要と言える。

とはいえ、規模が小さい企業では、CIOやCSOを設置することは難しいだろう。登坂氏は、そんな企業に対し、「CIOやCSOではないにしても、セキュリティに対する責任者を置いて、経営者とコミュニケーションをとるようにすることが大事」とアドバイスする。

後者については、地政学的な分裂と世界経済の不安定化により、サプライヤーへのサイバー攻撃が頻発し、サプライチェーンのリスクが高まっているとともに、業種や従業員規模によってセキュリティ対策の導入が進んでいる企業と遅れている企業と2極化しているという現状があるという。

こうした問題の解決策として、クラウドサービスを活用することで、業界内やグループ企業内でセキュリティ対策のレベルを上げていくことが必要になっている。

業界内における取り組みとしては、自治体クラウドのような業界でクラウドを構築し、セキュリティゲートウェイを設置して、情報を管理するといったことが考えられるという。

登坂氏は「以前は、クラウドを利用することに対する抵抗感があったが、今は利用の障壁が下がっている」と語る。自社で十分なセキュリティ対策を講じることが難しい企業も、クラウドを活用して、業界全体で投資することで、セキュリティのレベルを引き上げることが可能になるというわけだ。