新日本有限責任監査法人
法人案内
ニュースリリース

日本企業のサイバー攻撃への対策は未整備

~企業における情報セキュリティへの取り組みを日本とグローバルで考察~
「2013年度 情報セキュリティ・グローバルサーベイ」の結果を発表
2014.01.31
  • 日本は、情報セキュリティ予算総額の増加企業が少なく、情報セキュリティ戦略と企業の業務戦略が一致している企業が少ない(グローバルとの対比)
  • 必須とされるセキュリティ対策の日本での認知が低い
  • グローバル、日本ともにスマートフォンやタブレットのセキュリティが最も注目されている一方、グローバルと比較して日本での対応は不備が多い

EYのメンバーファームである新日本有限責任監査法人は、EYが実施している情報セキュリティの重要な課題に関する「2013 グローバル情報セキュリティサーベイ」の調査結果を公表します。今回は世界64カ国、1,909社(うち、日本企業272社)による調査データに加え、グローバルをベンチマークとした日本との差異を考察しています。

16年目を迎えた今回の調査では、絶え間なく発生し複雑化を増しているサイバー攻撃に対する、リスクへの対処を以下の3点から検証をしました。

  1. Improve - 改善と挑戦:
    サイバー脅威に対処するために行っている改善と、さらに一層の努力が求められている挑戦
  2. Expand - リーディングプラクティス:
    新たな脅威により積極的に対処するべく、優れた組織がとっているステップ
  3. Innovate - セキュリティのイノベーション:
    最先端技術に対応するために組織に求められているソリューション

「グローバル情報セキュリティサーベイ」について

グローバル情報セキュリティサーベイは、EYが毎年実施している情報セキュリティに関する調査で、今回で16年目となります。この調査は、情報セキュリティの重要な課題を以下の5つのカテゴリーに分けて質問し、さまざまな局面における判断に有益な情報を提供することを目的としています。

1. 情報セキュリティ予算と投資
2. セキュリティガバナンス
3. 情報セキュリティの有効性
4. 情報セキュリティ環境
5. 先端技術とトレンド

詳細は、以下の資料をご覧ください。


以下は、今回の調査結果のポイントです。

情報セキュリティ予算は引き続き増加傾向

今回の調査では、日本では35%、グローバルでは49%の企業が今後12ヶ月の情報セキュリティ予算を増やすと回答しました。前年並みと回答した企業を合わせると、日本、グローバルともに90%を上回ります。2012年に実施した前回の調査でも、日本、グローバルともに90%以上の企業が情報セキュリティ予算を前年並み又は増やすと回答していました。このことから、企業の情報セキュリティ予算の増加傾向は続いていると見ることができます。

日本、グローバルともに、情報セキュリティ費用における運用・保守費用の割合の低下が続く

情報セキュリティ費用に占める運用・保守費用の割合は、日本の場合、過去12ヶ月では平均55%でしたが今後12ヶ月では平均51%に下がるという結果になりました。グローバルの場合でも、過去12カ月では平均50%、今後12カ月では平均45%となり、同様に低下傾向が見られます。日本、グローバルともに、3期続けて運用・保守費用の割合は低下しており、その分、向上・拡充といった新しい取り組みへの予算配分が増える傾向が見られます。

過去12ヶ月と今後12ヶ月の情報セキュリティ予算総額の配分

日本は「人材」、グローバルは「予算」が、情報セキュリティの価値創出における最大の課題

情報セキュリティの価値を創出する上での課題又は障害として、グローバルでは予算の制約を挙げる企業が最も多く、それを挙げる企業は65%(日本では49%)に上ります。日本ではスキルを有する人材の不足を挙げる企業が77%(グローバルでは50%)と最も多くなっています。

情報セキュリティの価値創出における最大の課題の違いは、日本およびグローバルともに前回の調査と変わりなく、また日本においてスキルを有する人材の不足を課題として挙げる企業の割合は、前回調査より8ポイント増加しています。このことから、日本において、情報セキュリティに関するスキルを持った人材が広く不足する状況が依然として続いていることがうかがえます。

情報セキュリティの価値創出における最大の課題

情報セキュリティへの関与は、日本では現場レベルに限られている

取締役会レベルの会議での情報セキュリティに関するトピックの取上げについて、その頻度が四半期に一回以上であるとする回答はグローバルでは48%に上りました。対して、日本では36%であり、情報セキュリティへ経営層が関与する機会がグローバルに比べて少なく、事業部門などのより現場に近いレベルに限られた取り組みであることが多いとうかがえます。

日本の情報セキュリティプログラムの整備は成熟度が低い

日本では53%、グローバルでは69%の企業が、自社の情報セキュリティの要件を満たすための改善を進めています。しかし、情報セキュリティプログラムの6つの主な領域(スレットインテリジェンスプログラム、脆弱性特定能力、検知プログラム、インシデント対応能力、データ保護プログラム、アイデンティティおよびアクセス管理プログラム)の成熟度についての質問では、いずれの領域とも、日本ではグローバルと比較して整備していないという回答の割合が高く、全体的に成熟度が低くなっています。特に、スレットインテリジェンスプログラムと脆弱性特定能力については、日本では整備していないとする回答(成熟度としては、不十分)がそれぞれ70%なっています。

情報セキュリティプログラムの6つの主な領域の成熟度

日本もグローバルも重視するモバイルデバイスのセキュリティ、そのための自社の対処能力への信頼がグローバルと比べて低い日本

最近の情報セキュリティにおける技術やトレンドの重要性についての質問では、スマートフォンやタブレットのセキュリティを重視する回答がグローバルでは75%、日本では84%に上ります。それ以外では、グローバル、日本とも、ソフトウェアアプリケーションのセキュリティ、オンラインアプリケーションのセキュリティについて重要とする回答の割合が高くなっています。

最近の情報セキュリティにおける技術やトレンドへの対処能力についての質問では、日本では、自社の対処能力に信頼を置いている割合がグローバルに比べて総じて低くなっています。重要という回答が多かったスマートフォンやタブレットのセキュリティについてみると、グローバルでは信頼を置いているという回答の割合が52%であるのに対し、日本では33%にとどまります。

スマートフォンやタブレットの自社にとっての重要度および自社の対処能力の信頼度

《 本件に関するお問い合わせ先 》
新日本有限責任監査法人  広報担当
東京都千代田区内幸町2-2-3 日比谷国際ビル
Tel 03-3503-1037  Fax 03-3503-1041