プライスウォーターハウスクーパース(PwC)は2014年2月5日、「グローバル情報セキュリティ調査2014(日本版)」を発表した。日本企業330社の経営層や情報セキュリティ担当者に対し、セキュリティ対策の取り組みやツールの導入状況を聞いた。ここではグローバル企業の結果と比較し、日本企業特有の傾向を読み取る。
次年度のセキュリティ対策費について聞いたところ、「増額する」と答えた日本企業は20%だった。これはグローバル企業(49%)の半分以下に留まる(図1)。
日本企業の場合、投資の効果測定を「実施している」と回答した割合が23%で、投資の妥当性や効果を経営層に説明できないことが、十分に予算を確保できない状況を招いていると考えられる。
異常やトラブルなどのインシデントを検知するツールの導入状況はどうか(図2)。日本企業の導入率は前回調査時より増加している。例えば悪意あるプログラムを検知するツールの場合、2012年の導入率は59%だったが、2013年は77%まで増えている。未許可のデバイスを検知するツールにおいては、2012年はわずか29%だったのに、2013年は71%に達している。これらは、グローバル企業の導入率を上回る。
しかし、インシデントの発覚をどのように知るのかを聞いたところ、日本企業の58%が「ルートを把握していない」と回答した(グローバル企業は21%、図3)。PwCでは、日本企業は各種検知ツールの導入を進めるものの、これら機能を十分使いこなせずにいると分析する。
インシデント発生後の体制について、日本企業とグローバル企業を比較した結果が図4である。グローバル企業の場合、広報や人事、経営顧問などと連携する体制を整備していることが読み取れる。これに対し日本企業は、情報システム部門の関与する割合が、他部門より突出して高い。部門をまたがってインシデントに対処しようとする体制を構築できずにいる。
業界としての取り組みに差異はあるのか(図5)。セキュリティ関連の情報を業界内で共有している割合は、グローバル企業が50%だったのに対して、日本企業は15%に留まった。
PwC / ユーザー調査 / インシデントレスポンス
