戦略的投資に程遠い国内企業のセキュリティ実態、「前年度と同じ予算」「既存の人員で十分」が6割――IDC調べ（1/2 ページ）

IDCが行った2018年度における国内企業812社の情報セキュリティ対策の実態調査によると、投資は年々増加傾向にあるものの、いまだ約6割の企業でセキュリティ予算が明確化されていないことが分かった。

[金澤雅子，ITmedia]

　IDC Japanは2018年5月15日、国内企業の情報セキュリティ対策の実態についての調査結果を発表した。

　同調査は、同年1月に官公庁を含めた国内の企業／組織812社を対象に実施したもので、情報セキュリティ対策の導入実態と今後の方向性について、分析した結果をまとめている。

セキュリティ予算の確保と戦略的投資に課題

　分析結果によると、2018年度の情報セキュリティ投資を増やす企業は、「ネットワークセキュリティ」を投資の重点項目としている企業が多いことが分かった。

　一方で、約6割の企業がセキュリティ予算を決められておらず、投資額は「前年度と変わらない」と回答。また、セキュリティ人員に対して、6割以上の企業が「既存の人員で十分」と思っており、「TCO（総保有コスト）の観点から人員を配備している」企業は2割に満たない状況が判明した。

　IDCは、2018年度の情報セキュリティ投資は、2017年度に続き増加傾向であるものの、まだ多くの企業は明確なセキュリティ予算を持たず、戦略的なセキュリティ投資がなされていないと指摘する。

2012年度（会計年）〜2018年度（会計年）の情報セキュリティ関連投資の前年度と比較した増減率（Source：IDC Japan, 5/2018）

ネットワークセキュリティやアクセス管理にクラウドサービスを検討

　同調査では、情報セキュリティ対策について、「脅威管理」「アイデンティティー／アクセス管理」「セキュアコンテンツ管理」など、15項目の導入状況を確認した。

　その結果、セキュリティ対策の導入実態としては、「外部からの脅威管理」に関する導入は進んでいるが、「内部脅威対策」の導入は遅れていることが判明。

　また、「ネットワークセキュリティ」と「アイデンティティー／アクセス管理」では、オンプレミスの導入より、クラウドサービスの利用を検討している企業が多いことが分かった。

　IDCによると、この1年間でセキュリティ被害に遭った企業は全体の14.2％で、1割近くの企業がランサムウェア感染の被害を受けていた。前回（2017年1月）の調査結果と比較すると、セキュリティシステムの検知による発見が10ポイント以上増加。発見してからの収束時間は、「24時間以内」と回答した企業が59.1％と、前回調査の49.5％から増加しており、収束時間が短くなっている。

　さらに、重大なセキュリティ被害に遭った企業は26.7％で、前回調査の29.4％から減少。復旧や賠償金などにかかった費用が「500万円以上」と回答した企業は64.5％で、前回調査の65.2％から減っていた。

　IDCでは、この状況は、非シグネチャ型検出技術による多層防御製品やセキュリティインシデントを分析するSIEM（セキュリティ情報／イベント管理）製品など、最新技術を活用したセキュリティ製品市場に投入され、導入が進んできたことで重大化するセキュリティ被害を早期に検出できるようになったことが影響しているとみている。