[調査・レポート]

CSIRTの機能を備える企業は4割超──NRIセキュアの最新調査から

2015年2月5日(木)魯 玉芳(IT Leaders編集部)

NRIセキュアテクノロジーズは2015年1月27日、「企業における情報セキュリティ実態調査2014」の結果を発表した。盛りだくさんの内容から、一部のトピックを紹介する。CSIRT(インシデント対応専門チーム)を構築済みの企業が2013年から2.2倍増加し、全体の4割を超えた点などが見どころだ。

 ECサイトやオークションを手がけるeBay、メガバンクのJPMorgan Chase、ホームセンターチェーンのThe Home Depot、さらには映画などのエンタメ業界大手Sony Pictures Entertainment…。米国では、世間を揺るがす大規模な情報漏洩事件が立て続けに起きている(「米国で起きているサイバー攻撃が示す深刻度、セキュリティ対策の見直しは不可避」を参照)。

 日本でもベネッセの事件が記憶に新しいところであり、さらに昨今の攻撃手口の高度化に照らして考えれば、自社が標的となって深刻な事態に発展する可能性を否定することはできない。こうした状況下、日本企業のセキュリティ対策は、どのような実態にあるのだろうか。参考指標の1つになりそうなのが、NRIセキュアテクノロジーズが2015年1月27日に発表した、「企業における情報セキュリティ実態調査2014」の結果だ。

 同調査は、東証(1部・2部)/JASDAQ/マザーズへの上場企業など大手3000社を対象に2014年秋にアンケート調査を実施し、660社から得た回答をとりまとめたもの。今回で13回目となる。セキュリティにかかわる予算や人材、技術など幅広い内容となっており、本稿ではその中から注目すべき点をピックアップする。

セキュリティ関連投資を増やす企業が増えている

 まずは投資動向から。「情報セキュリティ関連投資額は、昨年度と比較してどうなるか」という設問に対して「増える」(大幅に/かなり/小幅に、の総計)とする回答が着実に増えている。2012年度に19.6%だったものが今回の結果では31.4%に上昇し、およそ3社に1社が、増えると見込んでいる(図1)。別の設問でIT投資全般の動向を尋ねており、その結果は概ね横ばい。相対的に、セキュリティへの投資の優先度が高まっていると見ることができる。

図1 情報セキュリティ関連投資額を増額する企業の割合(出典:NRIセキュアテクノロジーズ、nはアンケート調査の回答数)
拡大画像表示

 同社は背景として、2014年度には、OpenSSLやJavaStruts、Internet Exploreなどの脆弱性が発覚してメディアで話題となったり、ベネッセの情報漏洩事件によって自社の体制を見直そうという機運が高まったりといったことがあったことなどを挙げる。また社内に根強く残っていたWindows XPマシンを、2014年4月のサポート切れを機に刷新した(もしくは刷新中の)企業も少なくない。クライアント環境の切り替えを機に、そこに関わるセキュリティツールに追加投資を強いられた例もありそうだ。

 クライアント関連で言えば、スマートデバイスがビジネス用途で普及している動きも見逃せない。モバイル端末(スマートフォン・タブレット)の業務利用状況を尋ねた設問では、「利用なし」はわずか13.8%にとどまった。会社支給か個人所有は別として、86.2%が利用しており、着実に定着しつつあることを示している(図2の上)。

図2 モバイル端末の業務利用状況とモバイル端末利用に係る課題(出典:NRIセキュアテクノロジーズ nはアンケート調査の回答数)
拡大画像表示

 その一方で浮上してくるのがセキュリティ上の課題だ。「モバイル端末に関わる課題」を尋ねた結果が図2の下である。「端末内保存データの管理や漏えい対策」「セキュリティルールの作成・更新等の負荷」「社外利用時の機器紛失件数の増加」といった声がトップ3に挙がった。ワークスタイル改善による従業員の生産性向上は重要なテーマである反面、セキュリティ対応に伴うIT部門の負荷やコストの増加に頭を悩ませている様子が伺える。

CSIRTの設置状況~この1年で倍以上に増える

 大規模な情報漏洩などセキュリティに関わる事件・事故が起こる度に、日常的な監視や、何か起こってしまった際に早急な原因究明や影響範囲特定を担う体制/組織の重要性が指摘される。いわゆる「CSIRT(Computer Security Incident Response Team、インシデント対応専門チーム)」の設置である。

 CSIRTの設置状況を尋ねた結果が図3だ。社内的にCSIRTと位置付けているかはともかく、「類似機能を情報システム部門で実施」も含めると、41.8%が既に何らかの体制を整えている。2013年度の19.0%から倍以上に伸びており、ここ1年で急速に進展した点に注目したい。NRIセキュアテクノロジーは背景として、各メディアでサイバー攻撃に関わる情報が数多く発信されたことによって、組織的な対応が不可欠との認識が浸透したことを挙げている。もっとも、欧米では設置済みとする企業が6割を超えているというレポート(※Cyber Incident Response: Are business leaders ready?)もあり、これで安穏とはしていられないとも指摘する。

図3 CRISTまたは情報システム部門で類似機能を有する組織の構築の割合(出典:NRIセキュアテクノロジーズ、nはアンケート調査の回答数)
拡大画像表示

 そのほか、NRIセキュアテクノロジーズの調査では、セキュリティ戦略やグローバルガバナンスなどをテーマに幅広く国内企業の実態を明らかにすると共に、結果を元にした洞察やアドバイスを加えている。今後のセキュリティ対策のあり方を検討する上では、まずは国内企業の水準がどの程度なのかを知ることが1つの起点となる。もちろん、平均像に肩を並べればよいという話ではないが、自社が後手に回っている点などが分かれば、今後のアクションの優先順位をつけやすいはずだ。詳細は、同社発行の「企業における情報セキュリティ実態調査 2014」を参照されたい。
 

関連記事

CSIRTの機能を備える企業は4割超──NRIセキュアの最新調査からNRIセキュアテクノロジーズは2015年1月27日、「企業における情報セキュリティ実態調査2014」の結果を発表した。盛りだくさんの内容から、一部のトピックを紹介する。CSIRT(インシデント対応専門チーム)を構築済みの企業が2013年から2.2倍増加し、全体の4割を超えた点などが見どころだ。

PAGE TOP