野村総合研究所（NRI）のグループ会社で、情報セキュリティ事業を担うNRIセキュアテクノロジーズ（NRIセキュア）では、2002年度から「企業における情報セキュリティ実態調査」を毎年実施しています。この度、「セキュリティが経営戦略となる時代」をテーマにした最新の調査結果がまとまりました。調査を担当したNRIセキュアのセキュリティコンサルタント名部井康博が調査結果の概要を解説するとともに、デジタルトランスフォーメーション（DX）を推進する上での日本企業における課題なども説明します。

DXの推進では情報セキュリティのアップデートも必要

今回の調査は、日本とアメリカ、シンガポールの各企業における情報セキュリティに対する取り組み状況を明らかにするために実施しました。調査対象は各企業の情報システム／情報セキュリティ担当者で、日本は1,794社、アメリカは509社、シンガポールは504社からの回答を得ています。
今回の調査におけるトピックスの一つがDXにおける情報セキュリティへの取り組み（デジタルセキュリティ）です。DXに取り組んでいる企業の割合は、アメリカとシンガポールがともに85％以上だったのに対し、日本は30.7％に留まりました。名部井は「日本では『わからない』と回答した企業が29.5％も存在していて、DXという言葉や概念自体が完全に浸透していない可能性があります」と付け加えました。
また、「DXで情報セキュリティの要請は変わっていない」と回答した企業が多かった点にも名部井は注目しています。

「このように回答した企業は、DXによる情報セキュリティを現行の延長と捉えていて、DXによって情報セキュリティへの要請が変わっていることに気づけていない可能性もあると考えています。DXに取り組む際には、それによって増加するリスクを洗い出し、情報セキュリティを常にアップデートしなければなりません」

デジタルセキュリティへの取り組みで注目したいのは、DXにまつわる先進的なセキュリティソリューションの導入状況です。日本企業では業務プロセスの変革に寄与する「DX 1.0」に関係する情報セキュリティ対策の導入や検討は進められている一方、ビジネス変革につながる「DX 2.0」へ向けてのセキュリティ対策は、DX1.0ほど進んでいないと名部井は指摘します。「日本でDXに取り組んでいる企業は増えつつあるが、どちらかというと業務プロセスの変革に留まっており、ビジネス変革にまでは至っていないのではないでしょうか」。

人材不足解消の鍵を握るアウトソースとツールの活用

日本企業全体において深刻な課題となっているのは、情報セキュリティ人材の不足です。今回の調査では、情報セキュリティ人材が充足していると感じている企業は日本ではわずか9％であるのに対し、アメリカとシンガポールはいずれも80％を超えています。このように、日本だけが圧倒的に人材不足を訴えているという状況は、例年の調査と同様の傾向だと名部井は言います。

不足している人材の種別について、もっとも多かったのが「情報セキュリティ戦略・企画を策定する人」でした。名部井は「情報セキュリティ戦略・企画の策定では、自社のビジネスに特有のリスクを洗い出す必要があり、その業務を担う人材は自社で育成することが望ましいです」と述べつつ、次のように続けました。

「情報セキュリティリスクの評価と調査、ログの監視・分析を行う人材が不足していると回答した企業の割合も大きかったのですが、これに関してはアウトソースでの対応やツールの活用による自動化が見込める領域です。人材不足を解消する上では、自社の人材で対応する領域、そしてアウトソースやツールの活用で対応する領域を明確化することが重要です」。

スキル不足が招くDX時代の情報セキュリティリスク

調査結果を踏まえて、名部井は情報セキュリティに関するスキル不足が、日本企業の競争力に影響を及ぼしかねないという懸念を示しています。

「高度なIT技術に対応するスキル、あるいはデジタルビジネス固有の情報セキュリティ戦略を考えるスキルが不足していれば、DX時代における情報セキュリティ対策の遅れを招き、ビジネスのスピードを阻害する大きな要因になりかねません。このような状況を打開するためには、情報セキュリティを経営戦略として捉え、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）主導の下、セキュリティ業務の最適化に取り組むべきです。これこそが、DX時代にビジネスのスピードと安全性を両立するために必要なことだと考えています」。

今後DXが進展すれば、これまで以上に情報セキュリティの重要性は高まるでしょう。そこで求められる情報セキュリティ人材をどう育成するのか、日本企業は本格的に検討すべき段階だと言えるのではないでしょうか。