企業における情報セキュリティ実態調査 2013
2014年01月27日
NRIセキュアテクノロジーズは、2013年8月~10月に、東証一部・二部上場企業を中心とする3000社の情報システム・情報セキュリティ担当者を対象として、情報セキュリティに関するアンケート調査を実施しました(回答企業数 685社)。
2002年の開始より12回目となる、本調査のデータを集計・分析してまとめた「企業における情報セキュリティ実態調査 2013」の主な結果を発表。
本調査では、定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス※1」の5つの観点で分析しています。
【主な調査結果】
■予算:情報セキュリティ関連投資意欲は過去5年で最高水準
2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となりました。一方、同投資額を「10%以上減らす」企業は7.5%と最少となりました。これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかりました。
■人材:業務量とスキルの両面で不足する情報セキュリティ人材
情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上りました。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化しています。また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となりました。
■グローバル統制:国内・海外でいまだ差のある拠点の統制レベル
企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になりました。
■モバイル・クラウド:広がりを見せるモバイル、クラウドサービスの業務利用
個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大しました。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇しました。
■インシデントレスポンス:直接・間接的要因により進む態勢強化
「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%でした。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。一方、社内CSIRT※2(読み「シーサート」)の立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加しました。
※1 インシデントレスポンス(Incident Response):
情報セキュリティ事故が発生した際の事故対応
※2 CSIRT(「シーサート」、 Computer Security Incident Response Team):
企業や公的機関などにおいて、インターネットセキュリティ上の問題を監視し、社内コンピュータ関連事故が発生した場合の対応全般を行う組織
【調査概要】
・調査名:「企業における情報セキュリティ実態調査 2013」
・調査目的:
①国内の大手・有力企業における情報セキュリティに対する取り組み状況を明らかにする
②企業の情報システム・情報セキュリティ関連業務に携わる方へ有益な参考情報を提供する
・調査時期:2013年8月29日~10月4日
・調査方法:郵送調査
・調査対象:東証一部・二部上場企業2247社、JASDAQ上場企業196社、マザーズ上場企業15社、地方上場企業48社、従業員が多い企業494社、の計3000社
・回答企業数:685社
その他、詳しいリサーチ内容はネタ元へ
2002年の開始より12回目となる、本調査のデータを集計・分析してまとめた「企業における情報セキュリティ実態調査 2013」の主な結果を発表。
本調査では、定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目の計52の質問を、「予算」「人材」「グローバル統制」「モバイル・クラウド」「インシデントレスポンス※1」の5つの観点で分析しています。
【主な調査結果】
■予算:情報セキュリティ関連投資意欲は過去5年で最高水準
2013年度の情報セキュリティ関連投資額を2012年度より「10%以上増やす」企業は、全体の26.7%となり、リーマンショック以降の調査5回目で最大となりました。一方、同投資額を「10%以上減らす」企業は7.5%と最少となりました。これにより、企業の情報セキュリティ関連投資意欲は、過去5年で最高水準にあることがわかりました。
■人材:業務量とスキルの両面で不足する情報セキュリティ人材
情報セキュリティ対策に従事する人材が「不足している」と考える企業が、全体の84.8%に上りました。「不足している」と回答した企業のこの理由は(複数回答)、「社内のセキュリティ担当者のスキルが十分ではない」が47.0%、「業務量が以前より大きく増加している」が40.0%と、業務量とスキルの両面で人材不足が顕在化しています。また、企業が重視する情報セキュリティ対策では(複数回答)、43.9%が「社内セキュリティ人材の育成、従業員のセキュリティ教育」と回答し、2012年度の27.6%から大幅に増加して1位となりました。
■グローバル統制:国内・海外でいまだ差のある拠点の統制レベル
企業の国内・海外拠点におけるセキュリティ統制について、統制が「全てできている」「一部できている」と回答した企業は、支店については国内拠点90.6%に対し、海外拠点46.8%、連結子会社では、国内拠点77.4%に対し、海外拠点43.4%となり、特に海外拠点において、セキュリティ統制が取れていないと感じる傾向が顕著になりました。
■モバイル・クラウド:広がりを見せるモバイル、クラウドサービスの業務利用
個人所有のスマートデバイスの業務利用(BYOD: Bring Your Own Device)について「開始する目途がある」企業の比率は、2012年度調査の5.7%から、2013年度では15.0%と拡大しました。また、クラウドサービス(個人情報・機密情報を取り扱うクラウドサービス(ファイルサーバ、ウェブメール、CRM等))を「業務利用している」企業は、2012年度の38.3%から、2013年度は48.1%へと上昇しました。
■インシデントレスポンス:直接・間接的要因により進む態勢強化
「標的型攻撃を経験したことがある」と回答した企業は、全体の20.7%でした。このうち、「過去1年以内に標的型攻撃を経験」した企業は82.9%に上り、30.7%の企業では「これまでに受けた標的型攻撃による実被害」がありました。一方、社内CSIRT※2(読み「シーサート」)の立ち上げ状況については、22.3%の企業が「実施済み」「1年以内に実施予定」と回答し、2012年度調査時の8.3%から大幅に増加しました。
※1 インシデントレスポンス(Incident Response):
情報セキュリティ事故が発生した際の事故対応
※2 CSIRT(「シーサート」、 Computer Security Incident Response Team):
企業や公的機関などにおいて、インターネットセキュリティ上の問題を監視し、社内コンピュータ関連事故が発生した場合の対応全般を行う組織
【調査概要】
・調査名:「企業における情報セキュリティ実態調査 2013」
・調査目的:
①国内の大手・有力企業における情報セキュリティに対する取り組み状況を明らかにする
②企業の情報システム・情報セキュリティ関連業務に携わる方へ有益な参考情報を提供する
・調査時期:2013年8月29日~10月4日
・調査方法:郵送調査
・調査対象:東証一部・二部上場企業2247社、JASDAQ上場企業196社、マザーズ上場企業15社、地方上場企業48社、従業員が多い企業494社、の計3000社
・回答企業数:685社
その他、詳しいリサーチ内容はネタ元へ
