企業における情報セキュリティ実態調査2021
ゼロトラストセキュリティ関連のソリューション導入において、日本企業は米豪に後れ
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:柿木 彰、以下「NRIセキュア」)は、2021年10月から11月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,653社を対象に、「情報セキュリティ実態調査」を実施しました。回答を集計・分析した結果を、「NRI Secure Insight 2021」として本日発表します。この調査は、2002年度から毎年実施しており、今回で19回目となります。
調査で明らかになったのは、おもに以下の3点です。
■3か国ともに7~8割の企業が、新型コロナウイルスが落ち着いた後もテレワークを継続すると回答
テレワークを実施していると回答した企業の割合は、日本では78.7%、米国では48.3%、豪州では44.7%でした。これらの企業に対して、今後の構想や見通しを尋ねたところ、「COVID-19が落ち着いた後も、原則テレワークを続ける予定」または「COVID-19が落ち着いた後は、テレワークとオフィス出社を組み合わせる予定」と回答した割合を合わせると、日本で70.1%、米国で78.5%、豪州で77.0%にのぼりました。いずれの国においても、テレワークとオフィス出社を組み合わせるハイブリッド型の働き方を想定した割合が最も多く、コロナ禍収束以降もテレワークを柔軟に活用する傾向が続くとみられます。
■ゼロトラストセキュリティを実現するソリューションの導入で、日本は米豪に後れ
安全なテレワーク環境を実現するためには、クラウドサービスや社外で利用される業務用端末に関して、十分なセキュリティ対策を行うことがとりわけ重要であり、ゼロトラスト(※1)の考え方にもとづいたセキュリティソリューションの導入が有効です。
今回は、特にCASB(※2)やEDR(※3)等の導入状況について調査を行いました。CASBを「導入済み・利用している」「検証している(していた)」と答えた企業は、米国で52.6%、豪州で45.2%であったのに対して、日本では12.6%にとどまりました。EDRについても、米豪では導入・検証を行っている割合が半数を超えましたが、日本では26.2%であり米豪に後れを取っています。しかし、前回(2020年7月~9月実施)の調査結果では、EDRの導入・検証を行っている日本企業の割合が14.2%だったことと比較すると、EDRの導入は日本でも着々と推進されていることが分かります。
■日本企業の9割が、セキュリティ人材の不足を感じている(米豪は1割程度)
情報セキュリティの管理や社内システムのセキュリティ対策に従事する人材の充足状況について尋ねたところ、「どちらかといえば不足している」と「不足している」の合計が、日本企業では90.4%に達しました。対して、これらの選択肢を選んだ企業の合計が、米国では12.9%、豪州で11.6%にとどまっています。
「人材が過剰な状態」「充足している」「どちらかといえば充足している」と回答した企業にその理由を複数回答で尋ねたところ、米豪では「セキュリティ業務がシステム等により自動化・省力化されているため(米:35.8%、豪:35.3%)」が最多であったのに対し、日本ではそれを理由に挙げる割合は14.7%と低く、「セキュリティ業務が標準化されており、役割分担が明確化されているため(33.9%)」が最も多い結果となりました。
上記の回答から、人材の充足・不足は、必ずしも人数の多寡を意味しているわけではなく、人的リソースに依存しない業務の仕組みが整備されているかどうかも一因であると考えられます。
以上の結果を踏まえると、今後もテレワークを継続する日本企業が多く存在する中で、テレワーク環境のセキュリティを確保し自社の情報システムをサイバー攻撃から守るためには、人手だけに頼るのではなく、ゼロトラストセキュリティソリューション等の導入や、セキュリティ業務の自動化・効率化による、DX(デジタルトランスフォーメーション)を一層推進していくことが有効であると考えます。
1 ゼロトラスト:
社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずに検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方です。
2 CASB:
Cloud Access Security Brokerの略。従業員によるクラウドサービスの利用を可視化・制御するソリューションのことです。
3 EDR:
Endpoint Detection and Responseの略。主にエンドポイント(端末)におけるインシデント(事故・事案)発生後の対応を、明確化・迅速化する機能を持つセキュリティ対策製品のことです。遠隔での端末調査やネットワーク隔離等に対応しています。
■(ご参考)調査概要
調査名:「企業における情報セキュリティ実態調査2021」
調査目的:日本、アメリカ、オーストラリアの企業における情報セキュリティに対する取り組みを明らかにするとともに、企業の情報システムおよび情報セキュリティ関連業務に携わる方に、有益な参考情報を提供する。
調査時期:日本:2021年10月11日~11月26日 アメリカ、オーストラリア:2021年10月25日~11月5日
調査方法:Webによるアンケート
対象企業:日本:株式上場企業または従業員数350人以上の企業 アメリカ、オーストラリア:従業員数500人以上の企業
回答企業数:日本:1,616社、アメリカ:511社、オーストラリア:526社
◆本リリースの詳細は、こちらをご覧ください。
(NRIセキュアテクノロジーズ株式会社/2月8日発表・同社プレスリリースより転載)