「セキュリティ費用を増やさない」企業は6割 どこに使うのか？

会社関係者の悪事やサイバー攻撃が増えても大半の企業はセキュリティ対策の予算を増やすつもりはないとしている。ただ、使い道には変化もみられる。

[國谷武史，ITmedia]

　IDC Japanは4月14日、企業や官公庁などのセキュリティ対策実態の最新調査結果を発表した。会社関係者の不正行為やサイバー攻撃などの脅威を課題としながらも、大半の企業はセキュリティ対策費用を増やす予定がないとしている。

　2016年度のセキュリティ対策予算を前年度比でみた場合、「増減なし」は62.5％に上る。この割合は2010年調査に比べて9ポイント減少し、「増やす」と回答した企業は4年連続で増加した。予算増によるセキュリティ対策の強化を志向する企業が増えつつあるが、それでも半数以上の企業は前年の水準を維持する考えにある。

　予算の重点的な投資項目では「投資計画はない」が35.8％で最多を占めた。それ以外ではネットワークセキュリティの14.0％を筆頭に、脆弱性管理（12.6％）や教育（12.2％）、ウイルス対策（12.2％）が続くが、項目による顕著な差異はみられず、既存の投資分野の維持にあてる意向がうかがえる。

情報セキュリティ投資の重点項目。左側は全体、右側は予算増を計画する企業

　なお、予算を増やす企業では「投資計画はない」の回答が11.6％にとどまり、ウイルス対策や脆弱性管理（ともに19.7％）などの項目で高い割合にあった。「さまざま情報セキュリティ事件を受けて危機感を抱いた企業では、対策強化の目的を明確にして予算を増やしている」（リサーチマネージャーの登坂恒夫氏）という。

　情報セキュリティ事件などでの損害を補償するサイバー保険では13.6％の企業が既に加入しており、加入予定や検討中を合わせると49.8％がサイバー保険を前向きにとらえていることが分かった。加入目的の上位（複数回答）は個人情報漏えいの対応（73.6％）や機密情報漏えいへの対応（59.6％）、業務システムの停止や破壊への対応（58.4％）が目立っている。

　情報セキュリティ体制ではITや情報セキュリティ担当役員（CIOやCSOなど）を設置する企業が44.3％あり、大企業ほど設置が進んでいる。経営者に対する情報セキュリティ状況の報告頻度は、「セキュリティ被害発生時」（23.0％）が最多で、「月1回」（23.5％）、「四半期に1回」（14.4％）、「週1回」（9.0％）の順に多い。一方、「報告していない」も19.3％に上った。

CIOやCSOの設置状況と経営者への報告頻度

　情報セキュリティ導入での課題では61.5％の企業が予算を、35.5％が効果測定の難しさを挙げた。特にCIOやCSOを設置する企業では、未設置企業よりも効果測定の難しさや導入作業、監査への対応を課題に挙げる割合が高い。登坂氏によれば、CIOやCSOを設置する企業では情報セキュリティ投資に対する効果を経営者から求められるケースが多いものの、投資効果を明確にしようとする取り組みは、経営者が情報セキュリティに関心を持つ現れと、とることもできる。

　IDCの調査では予算面から大半の企業が情報セキュリティへの取り組みを大きく変えようとはしていないが、予算を増加させたり、専任役員を設置したりする企業では情報セキュリティを経営リスクや事業リスクに位置付けて、積極的にリスク低減を図ろうとする動きが明らかになった。

予算と導入の手間を課題に挙げる企業が多く、CIO・CSO設置企業ほど経営者から効果を問われる傾向が強い