NRIセキュアテクノロジーズは2014年1月27日、報道関係者向けのセミナーを開き、「企業における情報セキュリティ実態調査 2013」の実施結果を発表した。
同調査は、国内大手企業を中心に、情報セキュリティに関する取り組み状況を明らかにするもの。2002年より毎年実施しており、今回で12回め。調査は、2013年8月29日から同10月4日にかけて実施した。東証1部・2部の上場企業2248社を含む3000社にアンケート調査票を郵送し、22.8%にあたる685社から回答を得た。
セキュリティ予算は増額基調、リーマンショック以前に迫る水準に
セキュリティ分野への投資は増額基調にある。2013年度の情報セキュリティ投資額を尋ねる設問では、前年度より投資を増やすと回答した企業が26.7%だった(+6.6%)。リーマンショックによって落ち込んだ投資額は、過去5年間で堅調に回復してきており、元の水準に近付きつつある。セキュリティ事故の多発や、経済の回復などが影響していると見られる。
投資が向かう先は、標的型攻撃などの脅威への対策が多いようだ。アンケートによれば、回答企業の20.7%が、従業員に標的型メールを送り付けられたり、公開Webサーバーを執拗に攻撃されたりするなど、標的型攻撃を受けた経験があると答えた。攻撃の82.9%は1年以内に集中。うち、30.7%は実害が発生している。こうした状況を受けて、一部の企業は対策に力を注ぎ始めている。
特に顕著なのが、「社内CSIRT」の立ち上げを進める企業数の増加である。社内CSIRTは、インターネットセキュリティの問題を監視し、事故発生時の原因究明や原状回復、再発防止など、インシデントレスポンス全般を担う組織。CSIRTを「構築済み」「1年以内に実施予定」と回答した企業は、前年比2.7倍の8.3%に増えた。
「相次ぐセキュリティ事故を受けて、事故が起きたときの対策を最優先で整えておこうと考える経営者が増えている」(ストラテジーコンサルティング部の足立道拡部長)。
一般の従業員のリテラシー向上も図る。前年比で1.6倍にあたる34.5%の回答企業が、標的型攻撃の手法やリスク、回避方法を伝えるため、セミナーやeラーニングを利用している。従業員にダミーメールを送り付けて、従業員に標的型攻撃を疑似体験させるトレーニングコースも、絶対数は少ないながら利用率を増やした(+1.2%)。
NRIセキュアテクノロジーズ / 標的型攻撃 / IT投資 / インシデントレスポンス / ユーザー調査
