検索
ニュース

DXへの取り組みが遅れる日本企業 NRIセキュアが実態調査足りないのは「トップの理解」より「スキル」

NRIセキュアテクノロジーズは「企業における情報セキュリティ実態調査2019」の分析結果を発表した。日本でDXに取り組む企業の割合は米国やシンガポールに比べて大幅に低い。日本では、ヒューマンエラーに起因するセキュリティインシデントが多かった。

Share
Tweet
LINE
Hatena

 NRIセキュアテクノロジーズ(以下、NRIセキュア)は2019年7月18日、日本、米国、シンガポールの3カ国で実施した「企業における情報セキュリティ実態調査2019」の分析結果を発表した。それによると、日本でDX(デジタルトランスフォーメーション)に取り組んでいる企業の割合は3割で、約半数がCISO(最高情報セキュリティ責任者)を設置していることなどが分かった。

DXへの取り組みを阻害するものとは

 DXへの取り組み状況について尋ねたところ、「取り組んでいる」と回答した日本企業の割合は30.7%で、米国の85.3%やシンガポールの85.6%に比べて大幅に低かった。取り組みを阻害する要因としては、「技術を実装する人員やリソースの確保やスキル」が最も多く、39.2%が回答した。次いで、「予算配分や投資判断」(33.3%)や「新技術に対する理解」(28.0%)、「組織的な対応、トップの理解」(26.0%)との回答が続いた。

画像
日本企業がDXに取り組む際の阻害要因(出典:NRIセキュア

 NRIセキュアでは、DXを推進するに当たっては従来とは異なるセキュリティ対策(デジタルセキュリティ)が求められるとしている。複数の関係者がコラボレーションし、新しい技術や複数のクラウドサービスの活用によって、社内外の多種多様なシステムとのつながりが拡大するためだ。

 こうしたデジタルセキュリティへの対応について聞くと、「DXでセキュリティの要請が変わり、ルールや対策更新等の対応をしている」と答えた日本企業の割合は4.9%にすぎず、「今後対応する予定」も11.8%しかなかった。米国ではそれぞれ30.3%と28.1%、シンガポールでは22.2%と32.3%だった。NRIセキュアではこの結果について、DXを推進して自社のビジネスを拡大させるためには、デジタルセキュリティへの対応が不可欠であり、DXに取り組む日本企業の意識改革と早急な対応が求められるとしている。

CISOは半数が設置

 次に、自社のCISOについて質問したところ、「設置している」と答えた企業の割合は、米国の86.2%やシンガポールの86.7%に対して、日本では53.4%だった。最近1年間に実施したセキュリティ対策のきっかけや理由を尋ねると、米国やシンガポールでは「経営層のトップダウン指示」(米国は55.4%、シンガポールは66.1%)が最も多かったのに対して、日本では「自社でのセキュリティインシデント(事件・事故)」が最も多く33.6%を占めた。「経営層のトップダウン指示」は、日本では23.7%で4位だった。

画像
CISOを設置している企業の割合(出典:NRIセキュア

 NRIセキュアではこの点について、日本の企業はインシデントの発生をきっかけにセキュリティ対策を実施するという後手に回った対応が多いとしており、DXやデジタルセキュリティなど、企業を取り巻く環境が目まぐるしく変化する中で、今後は、セキュリティ分野で経営のリーダーシップを向上させ、先を見据えた対策を打っていく必要があると指摘する。

過去1年間に発生したセキュリティ関連のインシデント

 最後に、過去1年間のセキュリティ関連のインシデントについて、何らかの事件・事故が発生したと答えた企業の割合は、3カ国のいずれも80%を超えていた。ただし、その内容については、国によって異なっていた。

 日本では「メールの誤送信」(29.4%)や「情報機器・外部記憶装置の紛失・置き忘れ・破損」(22.6%)といったヒューマンエラーに起因するものが上位を占めた。これ以外にもヒューマンエラーが原因のインシデントは、4位の「システム設定ミス」(19.8%)、6位の「社員証、業務書類など物品の紛失・置き忘れ・破損」(16.9%)、7位の「情報機器、電子記憶媒体、紙媒体などの盗難・紛失」(15.1%)があった。

 これに対して米国とシンガポールでは「DoS攻撃/DDoS攻撃」(米国30.6%、シンガポール36.5%)や「Webアプリケーションの脆弱(ぜいじゃく)性を突いた攻撃」(米国29.9%、シンガポール29.6%)といったサイバー攻撃に起因するインシデントが多かった。3位以降もサイバー攻撃によるものが占め、ヒューマンエラーに起因するものは、米国では9位の「電子メール、FAX、郵便物などの誤送信・誤配送」(8.3%)、シンガポールでは8位の「情報機器・外部記憶装置の紛失・置き忘れ・破損」(9.7%)だった。

画像
過去1年間のセキュリティ関連のインシデント(出典:NRIセキュア

 NRIセキュアでは、こうした違いの背景として、米国やシンガポールの企業は日本の企業に比べて、クラウドサービスの活用やDXへの取り組みが進んでおり、インターネットに公開しているサービスの数が多いことから、外部からの攻撃が盛んであることが考えられると分析している。同社は、こうした傾向は、DXが進展するとともに日本でも増えていくと予想され、その対策に一層取り組む必要があるとしている。

 なお、今回の調査は2018年12月〜2019年2月に実施し、2807社から回答を得た。同調査は2002年から実施しており、今回が17回目。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
  2. 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
  3. 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
  4. 「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表
  5. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  6. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  7. PQC(耐量子計算機暗号)への移行は進むのか Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能
  8. 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
  9. 徳丸氏がクラウド事故から考える、バックアップ、コンテナ、マイクロセグメンテーションを用いた本質的な「レジリエンス」とは
  10. 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
ページトップに戻る