DXへの取り組みが遅れる日本企業 NRIセキュアが実態調査：足りないのは「トップの理解」より「スキル」

NRIセキュアテクノロジーズは「企業における情報セキュリティ実態調査2019」の分析結果を発表した。日本でDXに取り組む企業の割合は米国やシンガポールに比べて大幅に低い。日本では、ヒューマンエラーに起因するセキュリティインシデントが多かった。

[＠IT]

　NRIセキュアテクノロジーズ（以下、NRIセキュア）は2019年7月18日、日本、米国、シンガポールの3カ国で実施した「企業における情報セキュリティ実態調査2019」の分析結果を発表した。それによると、日本でDX（デジタルトランスフォーメーション）に取り組んでいる企業の割合は3割で、約半数がCISO（最高情報セキュリティ責任者）を設置していることなどが分かった。

DXへの取り組みを阻害するものとは

　DXへの取り組み状況について尋ねたところ、「取り組んでいる」と回答した日本企業の割合は30.7％で、米国の85.3％やシンガポールの85.6％に比べて大幅に低かった。取り組みを阻害する要因としては、「技術を実装する人員やリソースの確保やスキル」が最も多く、39.2％が回答した。次いで、「予算配分や投資判断」（33.3％）や「新技術に対する理解」（28.0％）、「組織的な対応、トップの理解」（26.0％）との回答が続いた。

日本企業がDXに取り組む際の阻害要因（出典：NRIセキュア）

　NRIセキュアでは、DXを推進するに当たっては従来とは異なるセキュリティ対策（デジタルセキュリティ）が求められるとしている。複数の関係者がコラボレーションし、新しい技術や複数のクラウドサービスの活用によって、社内外の多種多様なシステムとのつながりが拡大するためだ。

　こうしたデジタルセキュリティへの対応について聞くと、「DXでセキュリティの要請が変わり、ルールや対策更新等の対応をしている」と答えた日本企業の割合は4.9％にすぎず、「今後対応する予定」も11.8％しかなかった。米国ではそれぞれ30.3％と28.1％、シンガポールでは22.2％と32.3％だった。NRIセキュアではこの結果について、DXを推進して自社のビジネスを拡大させるためには、デジタルセキュリティへの対応が不可欠であり、DXに取り組む日本企業の意識改革と早急な対応が求められるとしている。

CISOは半数が設置

　次に、自社のCISOについて質問したところ、「設置している」と答えた企業の割合は、米国の86.2％やシンガポールの86.7％に対して、日本では53.4％だった。最近1年間に実施したセキュリティ対策のきっかけや理由を尋ねると、米国やシンガポールでは「経営層のトップダウン指示」（米国は55.4％、シンガポールは66.1％）が最も多かったのに対して、日本では「自社でのセキュリティインシデント（事件・事故）」が最も多く33.6％を占めた。「経営層のトップダウン指示」は、日本では23.7％で4位だった。

CISOを設置している企業の割合（出典：NRIセキュア）

　NRIセキュアではこの点について、日本の企業はインシデントの発生をきっかけにセキュリティ対策を実施するという後手に回った対応が多いとしており、DXやデジタルセキュリティなど、企業を取り巻く環境が目まぐるしく変化する中で、今後は、セキュリティ分野で経営のリーダーシップを向上させ、先を見据えた対策を打っていく必要があると指摘する。

過去1年間に発生したセキュリティ関連のインシデント