グローバル情報セキュリティ調査®2014(日本版)
2014年02月05日
プライスウォーターハウスクーパースは、「グローバル情報セキュリティ調査®2014(日本版)」の結果を発表。本調査は、世界最大級のプロフェッショナルサービスネットワークであるPwCが、CIO MagazineおよびCSO Magazineと共に経営層を対象に実施した、情報セキュリティに関する世界規模のオンライン調査です。
本調査報告書は、企業に対するサイバー攻撃への対応を支援する当社の専任組織「サイバーセキュリティセンター」が作成しました。PwCが発表した調査結果の日本語訳に加え、本調査に参加した日本企業330社のデータを、グローバルの結果と比較・分析し、日本企業が強化すべきセキュリティ上のポイントを「日本企業への示唆」としてまとめています。
【主な調査結果】
グローバルと日本企業の調査結果の比較
・セキュリティ投資を増やせない日本企業
「次年度セキュリティ投資が増加する」と回答した日本企業は20%で、グローバル(49%)の半分以下でした。また、「セキュリティ投資の効果測定を行っているか」との質問に対して、日本企業の効果測定実施率が23%にとどまっていることから、投資の振り返りや妥当性の説明を行うことができず、十分なセキュリティ予算を獲得できない状況にあると想定されます【図1】。
・グローバルと比べ、インシデント検知ツールの活用は不十分
日本企業におけるセキュリティインシデント検知ツールの導入状況は、前回の調査結果と比べ、増加しています。さらに、日本企業とグローバルにおけるインシデント検知ツールの導入状況を比較したところ、各ツールの導入率がグローバルと同水準であることがわかりました【図2】。しかし、「セキュリティインシデントの発覚ルート」の結果を見ると、日本企業の半数以上が、セキュリティインシデントの発覚ルートを把握していないという状況が明らかになりました。インシデント検知ツールの導入は進んでいるものの、実際はその機能を十分に活用できていないためだと当社は考えています。
・日本企業のインシデントレスポンス体制の整備が進んでいないことが判明
企業内のインシデントレスポンス体制について、グローバルではインシデントが発生した際に、広報や人事、経営顧問などさまざまな部門と連携する体制を整備しています。一方、日本企業では、情報システム部門に偏ったインシデントレスポンス体制が構築されています。
また、「業界内でセキュリティ情報を連携している」と回答している企業は、グローバルの50%に対して、日本企業は15%にとどまりました。グローバルに比べ、日本企業は業界内での情報連携が進んでいないことが明らかになりました。
グローバルの主な調査結果
・自社の情報セキュリティに対する強い自信を持っている
「セキュリティ活動に対する自信」について、74%の回答者が「少し自信がある」、または「非常に自信がある」と回答しています。
・情報セキュリティ予算は増加している
本年度のセキュリティ予算は、前年度に比べ51%増加しています。しかし、情報セキュリティ予算は本年のIT総支出の3.8%と、ごく一部にとどまっています。
・セキュリティインシデントの検知数は増加している
過去12カ月のインシデント検知数は前回の調査結果から25%増加しています。ただし、インシデント数が不明と答えた企業は過去2年で倍増しました。サイバー攻撃が高度化しているため、それに対応したセキュリティモデルが構築できていない企業は、インシデント発生に気づいていない可能性が高いと考えられます。
・クラウド利用におけるポリシー整備は進んでいない
回答者の47%はなんらかの形でクラウドコンピューティングを利用していますが、クラウド利用に関するポリシーがあると答えたのは18%でした。
【調査概要】
・調査主体:PwC、CIO Magazine、CSO Magazine
・調査期間:2013年2月1日~2013年4月1日
・調査方法:オンライン調査
・調査対象:9,600人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、 最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、 ITおよび情報セキュリティ役員
・調査地域:北アメリカ36%、ヨーロッパ26%、アジア21%、南アメリカ16%、中東および南アフリカ2%
*「グローバル情報セキュリティ調査®2014(日本版)」には日本企業330社の回答をまとめています。
その他、詳しいリサーチ内容はネタ元へ
本調査報告書は、企業に対するサイバー攻撃への対応を支援する当社の専任組織「サイバーセキュリティセンター」が作成しました。PwCが発表した調査結果の日本語訳に加え、本調査に参加した日本企業330社のデータを、グローバルの結果と比較・分析し、日本企業が強化すべきセキュリティ上のポイントを「日本企業への示唆」としてまとめています。
【主な調査結果】
グローバルと日本企業の調査結果の比較
・セキュリティ投資を増やせない日本企業
「次年度セキュリティ投資が増加する」と回答した日本企業は20%で、グローバル(49%)の半分以下でした。また、「セキュリティ投資の効果測定を行っているか」との質問に対して、日本企業の効果測定実施率が23%にとどまっていることから、投資の振り返りや妥当性の説明を行うことができず、十分なセキュリティ予算を獲得できない状況にあると想定されます【図1】。
・グローバルと比べ、インシデント検知ツールの活用は不十分
日本企業におけるセキュリティインシデント検知ツールの導入状況は、前回の調査結果と比べ、増加しています。さらに、日本企業とグローバルにおけるインシデント検知ツールの導入状況を比較したところ、各ツールの導入率がグローバルと同水準であることがわかりました【図2】。しかし、「セキュリティインシデントの発覚ルート」の結果を見ると、日本企業の半数以上が、セキュリティインシデントの発覚ルートを把握していないという状況が明らかになりました。インシデント検知ツールの導入は進んでいるものの、実際はその機能を十分に活用できていないためだと当社は考えています。
・日本企業のインシデントレスポンス体制の整備が進んでいないことが判明
企業内のインシデントレスポンス体制について、グローバルではインシデントが発生した際に、広報や人事、経営顧問などさまざまな部門と連携する体制を整備しています。一方、日本企業では、情報システム部門に偏ったインシデントレスポンス体制が構築されています。
また、「業界内でセキュリティ情報を連携している」と回答している企業は、グローバルの50%に対して、日本企業は15%にとどまりました。グローバルに比べ、日本企業は業界内での情報連携が進んでいないことが明らかになりました。
グローバルの主な調査結果
・自社の情報セキュリティに対する強い自信を持っている
「セキュリティ活動に対する自信」について、74%の回答者が「少し自信がある」、または「非常に自信がある」と回答しています。
・情報セキュリティ予算は増加している
本年度のセキュリティ予算は、前年度に比べ51%増加しています。しかし、情報セキュリティ予算は本年のIT総支出の3.8%と、ごく一部にとどまっています。
・セキュリティインシデントの検知数は増加している
過去12カ月のインシデント検知数は前回の調査結果から25%増加しています。ただし、インシデント数が不明と答えた企業は過去2年で倍増しました。サイバー攻撃が高度化しているため、それに対応したセキュリティモデルが構築できていない企業は、インシデント発生に気づいていない可能性が高いと考えられます。
・クラウド利用におけるポリシー整備は進んでいない
回答者の47%はなんらかの形でクラウドコンピューティングを利用していますが、クラウド利用に関するポリシーがあると答えたのは18%でした。
【調査概要】
・調査主体:PwC、CIO Magazine、CSO Magazine
・調査期間:2013年2月1日~2013年4月1日
・調査方法:オンライン調査
・調査対象:9,600人以上の最高経営責任者(CEO)、最高財務責任者(CFO)、最高情報責任者(CIO)、 最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、副社長、 ITおよび情報セキュリティ役員
・調査地域:北アメリカ36%、ヨーロッパ26%、アジア21%、南アメリカ16%、中東および南アフリカ2%
*「グローバル情報セキュリティ調査®2014(日本版)」には日本企業330社の回答をまとめています。
その他、詳しいリサーチ内容はネタ元へ
[PwC]
