「セキュリティ費用を増やさない」企業は6割 どこに使うのか?
会社関係者の悪事やサイバー攻撃が増えても大半の企業はセキュリティ対策の予算を増やすつもりはないとしている。ただ、使い道には変化もみられる。
IDC Japanは4月14日、企業や官公庁などのセキュリティ対策実態の最新調査結果を発表した。会社関係者の不正行為やサイバー攻撃などの脅威を課題としながらも、大半の企業はセキュリティ対策費用を増やす予定がないとしている。
2016年度のセキュリティ対策予算を前年度比でみた場合、「増減なし」は62.5%に上る。この割合は2010年調査に比べて9ポイント減少し、「増やす」と回答した企業は4年連続で増加した。予算増によるセキュリティ対策の強化を志向する企業が増えつつあるが、それでも半数以上の企業は前年の水準を維持する考えにある。
予算の重点的な投資項目では「投資計画はない」が35.8%で最多を占めた。それ以外ではネットワークセキュリティの14.0%を筆頭に、脆弱性管理(12.6%)や教育(12.2%)、ウイルス対策(12.2%)が続くが、項目による顕著な差異はみられず、既存の投資分野の維持にあてる意向がうかがえる。
なお、予算を増やす企業では「投資計画はない」の回答が11.6%にとどまり、ウイルス対策や脆弱性管理(ともに19.7%)などの項目で高い割合にあった。「さまざま情報セキュリティ事件を受けて危機感を抱いた企業では、対策強化の目的を明確にして予算を増やしている」(リサーチマネージャーの登坂恒夫氏)という。
情報セキュリティ事件などでの損害を補償するサイバー保険では13.6%の企業が既に加入しており、加入予定や検討中を合わせると49.8%がサイバー保険を前向きにとらえていることが分かった。加入目的の上位(複数回答)は個人情報漏えいの対応(73.6%)や機密情報漏えいへの対応(59.6%)、業務システムの停止や破壊への対応(58.4%)が目立っている。
情報セキュリティ体制ではITや情報セキュリティ担当役員(CIOやCSOなど)を設置する企業が44.3%あり、大企業ほど設置が進んでいる。経営者に対する情報セキュリティ状況の報告頻度は、「セキュリティ被害発生時」(23.0%)が最多で、「月1回」(23.5%)、「四半期に1回」(14.4%)、「週1回」(9.0%)の順に多い。一方、「報告していない」も19.3%に上った。
情報セキュリティ導入での課題では61.5%の企業が予算を、35.5%が効果測定の難しさを挙げた。特にCIOやCSOを設置する企業では、未設置企業よりも効果測定の難しさや導入作業、監査への対応を課題に挙げる割合が高い。登坂氏によれば、CIOやCSOを設置する企業では情報セキュリティ投資に対する効果を経営者から求められるケースが多いものの、投資効果を明確にしようとする取り組みは、経営者が情報セキュリティに関心を持つ現れと、とることもできる。
IDCの調査では予算面から大半の企業が情報セキュリティへの取り組みを大きく変えようとはしていないが、予算を増加させたり、専任役員を設置したりする企業では情報セキュリティを経営リスクや事業リスクに位置付けて、積極的にリスク低減を図ろうとする動きが明らかになった。
関連記事
- 意外にあるぞ、無料で強力なセキュリティの教科書
こんなに分かりやすくセキュリティについて解説していて、無料でいいの!? 今回は、そんな驚くべきセキュリティコンテンツを紹介します。 - 攻撃も防御も社長の説得術も伝授、セキュリティの有志が「Hackademy」創設
攻撃の手口を知れば、対策が分かるし、経営層にも説明できる――そんな学びの場を提供しようと、セキュリティ業界の有志による教育プロジェクト「Hackademy」がスタートした。 - 第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史
IPAの「情報セキュリティ10大脅威 2016」が例年より早い2月15日に公開(順位のみ)された。今回はこの10大脅威の過去10年間の変遷を見ながら、現在の情報セキュリティをおける本当の脅威は何なのかを紐解きたい。 - セキュリティ事故経験は7割? 数字でみるニッポン企業の現実
サイバー攻撃や内部不正による情報漏えいなどの深刻な事故が近年相次ぐ。企業ではセキュリティ事故への対応や対策強化が叫ばれるが、その現状はどうか。各種統計からその実態を探ってみたい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.