「オリンピックやGDPRの対策は？」 IDCが情報セキュリティ対策の実態を調査：被害に遭いづらくなったが被害額は増加

IDC Japanが発表した情報セキュリティ対策の実態調査結果によると、過去1年間でセキュリティ被害に遭った企業は全体の14.2％。重大なセキュリティ被害に遭った企業は2018年からわずかに減ったが、1件当たりの被害額は増加傾向にあった。クラウドのセキュリティ対策は導入が進んでいる。

[＠IT]

　IDC Japanは2019年6月12日、情報セキュリティ対策の実態調査結果を発表した。同調査では、国内のユーザー企業829社を対象に、情報セキュリティ投資の予算や、2020年に開催される東京オリンピック・パラリンピックに向けたセキュリティ対策状況、セキュリティ被害の有無などを調べた。

　まず、2019年度の情報セキュリティ投資については、予算を決めておらず、投資額は2018年度と変わらないと回答した企業の割合は約6割だった。これに対して投資額を増やす企業では、新規導入または既存システムを強化する要素として、エンドポイント対策、Webセキュリティが多かった。

2012〜2019年度（会計年）の情報セキュリティ関連投資の前年度と比較した増減率（出典：IDC Japan）

オリンピックに向けた対策は進んでいるのか

　東京オリンピック・パラリンピックに向けたセキュリティ対策状況では「実施した」と回答した割合が8.9％、「これから実施する計画がある」が18.1％だった。対策項目は、回答が多い順に、ウイルス対策、メッセージセキュリティ、Webセキュリティだった。

　CSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）の設置状況については、セキュリティ体制の強化が従業員数に比例する傾向が見られ、従業員数が3000人以上の企業の半数近くが設置していた。

　懸念するセキュリティ上の脅威については、「未知のマルウェアやゼロデイ攻撃」を挙げた企業が最も多く59.4％（複数回答）。次いで「部内者の人的ミスによるインシデント」を54.6％の企業が回答した。セキュリティ導入の際の課題では「予算の確保」や「導入効果の測定が困難」と回答した企業が多かった。IDCは「投資対効果を経営層から求められるため、課題として顕在化している企業が多い」と分析している。

対策が進み被害に遭いづらくはなったが被害額は増加

　一方、過去1年間でセキュリティ被害に遭った企業の割合は14.2％だった。これは、2018年1月の調査とほぼ同等。ただし、2019年の調査ではランサムウェア感染の被害が2018年よりも2ポイント減少の約8％だった。重大なセキュリティ被害に遭った企業は、セキュリティ被害に遭った企業の中の25.2％で、2018年の調査の26.7％から割合はわずかに減った。だが復旧や賠償金など、1件当たりの被害額は増加傾向にあった。

　クラウドのセキュリティ対策は、導入が進んでいることが分かった。SaaS型クラウドアプリケーションへの対策を実施している企業の割合は23.5％。IaaSやPaaSなどのセキュリティ対策は、23.4％の企業が実施していた。エンドポイントで不審な挙動を検出するEDR（Endpoint Detection and Response）製品やMDR（Managed Detection and Response）サービスを利用している企業の割合は23.4％だった。

GDPRへの対策は？

　最後に、施行から1年が経過したEUの一般データ保護規則（GDPR）について調べた。EU圏でビジネスをしている企業のうち、「GDPRを知っている」と回答した企業の割合は85.5％。GDPRに対して「既に対策済み」と回答した割合は47.3％で、「計画が具体的にある」と回答した企業を含めると、約85％の企業が何らかの対策を計画していた。この割合は、2018年の調査から約38ポイント増加した。

　GDPRに対する重点的投資項目や課題では「ビジネスをEU圏でしているか否か」で回答に大きな差が出た。

　EU圏でビジネスをしている企業では、アプリケーションの特定（57.4％）とデータの評価と分類（50.4％）と回答した企業が多かったのに対して、EU圏でビジネスをしていない企業では、社内教育（38.4％）と回答した企業が最も多かった。重大な課題として、「RTBF（Right To Be Forgotten：忘れられる権利）」や「削除する権利」を挙げる企業の割合は、EU圏でビジネスを行っている企業では最も多く50.4％。これに対してEU圏でビジネスをしていない企業でこの回答を挙げた企業の割合は28.9％だった。