フリーワード検索


タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域

NRI トップ NRI JOURNAL 情報セキュリティ実態調査2020に見る日本企業の実情

NRI JOURNAL

未来へのヒントが見つかるイノベーションマガジン

クラウドの潮流――進化するクラウド・サービスと変化する企業の意識

情報セキュリティ実態調査2020に見る日本企業の実情

NRIセキュアテクノロジーズ GRCプラットフォーム部 山田 真暉

#DX

#サイバーセキュリティ

#ゼロトラスト

2021/02/15

野村総合研究所(NRI)のグループ会社であるNRIセキュアテクノロジーズ(NRIセキュア)は、2002年度から「企業における情報セキュリティ実態調査」を毎年実施しており、2020年度も日本とアメリカ、オーストラリアを対象に実施しました。その結果、各国におけるセキュリティに対する意識の違いが浮き彫りになっています。この調査の結果について、セキュリティコンサルタントである山田真暉に聞きました。

DXに伴うセキュリティ対策に向上余地のある日本企業

日本とアメリカ、オーストラリアの企業における、情報セキュリティに対する取り組みを明らかにすることなどを目的に、2020年7月から9月にかけて、NRIセキュアは日本の1,222社、アメリカの523社、オーストラリアの515社を対象として、セキュリティ実態調査を行いました。

この調査において、昨今話題となることが多いDX(デジタルトランスフォーメーション)への取り組みについて調べたところ、日本企業のDXへの取り組み率は76.5%であることが分かりました。2019年度の同調査における日本企業のDXの取り組み率は約30%であったことを踏まえると、多くの企業がDXに取り組み始めていることが分かります。

この中で、山田が喫緊の課題として取り上げたのはDXに伴うセキュリティ戦略の見直し状況です。「デジタルトランスフォーメーションの取り組みを進めるにあたって、自社のセキュリティ戦略やルール、プロセスの見直しを行っていますか」という問いに対し、「一部実施」、「実施済み」と回答した企業は、アメリカで73.7%、オーストラリアで77.3%だったのに対し、日本では21.7%に留まりました。

この結果について、山田は「これまでのコーポレートITの利用形態において主流を占めていたオンプレミス(自社運用型)を前提にしたインフラや、境界防御を想定した従前のセキュリティポリシーが足かせとなって見直し範囲が拡大し、さらに検討や対応を進めるための人材や予算が不足していることから、DXの取り組みを進めるにあたって、何から手を付けるべきか判断できない企業が多いのではないか」との見解を示しました。

また新型コロナウイルスの感染拡大対策として広まっているテレワークについて、日本企業の73.0%が実施しているのに対し、「テレワークに伴うセキュリティ要件を把握し、対策を行っている」と回答した企業は56.5%に留まっています。山田は「若干不安が残る数値」とし、「テレワークを推進する上でセキュリティ対策を考える際には、現行の境界型防御モデルからゼロトラストモデルへの移行を検討することも重要です」と提言します。

なお境界型防御モデルとは、インターネットと社内ネットワークの境界でファイアウォールなどを使ってセキュリティ対策を行うものです。ただ昨今ではクラウドサービスの利用増大などから、インターネット上にも守るべきものが存在するため、すべての通信においてユーザー認証や暗号化による通信内容の保護を行う、ゼロトラストモデルの考え方が広まりつつあります。

ゼロトラストについてはこちら

サプライチェーンによるセキュリティスコープの広がり

日本では、国内関連子会社に対しては71.0%、国外関連子会社に対しては57.0%の企業が、セキュリティ対策状況を把握していると回答しました。米豪の企業についてみると、国内・国外関連子会社のいずれに関しても把握している割合が8割前後と、日本よりも高くなっています。ビジネスパートナーや委託先企業に対してのセキュリティ統制状況についても、米豪では8割以上の企業がセキュリティ統制を実施しているのに対して、日本で実施している企業は、国内で51.9%、国外に対しては35.2%に留まる結果となりました。

この結果について、山田は「サプライチェーンに起因したセキュリティインシデント(事件・事案)が近年相次いで発生しており、サプライチェーン全体のセキュリティレベルを上げないといけません。そのため、まずはセキュリティ対策状況の把握から始めるべきだと思います。また、自社が定める一定水準以上のセキュリティ対策がなされていないサプライチェーンに対しては水準をクリアしない限り取引しないという判断も必要です」と述べました。

また、今回の調査で日本企業のDXへの取り組み率が上がっている現状を踏まえて、山田は「日本企業全体としてDXの取り組み率が上昇していることは望ましい結果です。 しかし、それに伴うサプライチェーンの増加によってセキュリティ対策のスコープが広がるため、境界外のセキュリティに対する統制に対応することが重要です」と話します。

国内外を問わずセキュリティ脅威となっている標的型攻撃とランサムウェア

過去1年間に発生したインシデントを尋ねた設問では、アメリカとオーストラリアではサイバー攻撃に分類されるものが上位を占めました。日本でもサイバー攻撃がトップ10に4つランクインしていますが、一方で電子メールやFAX、郵便物などの誤送信・誤配送など、ヒューマンエラーによるインシデントも挙げられています。

また自社にとって最も脅威となる事象としては、いずれの国においても標的型攻撃による情報漏えいと、ランサムウェアによる被害が上位となりました。

この背景について、山田は「標的型攻撃で使われることが多いEmotetや、身代金を要求するランサムウェアの世界的な流行と被害の拡大が理由になっていると考えられます。また、昨今のテレワーク環境では、それらへの対処が難しいことも、多くの企業が脅威を感じる原因の1つではないでしょうか」と語りました。

最後に山田は「今後もDXやテレワークの進展に伴うセキュリティ上の脅威は増していくため、これからの時代に即した新たなセキュリティ戦略が必要になります」と訴え、「セキュリティ対策の適用範囲、実装範囲を広げて、ニューノーマルのセキュリティ戦略を実施していくことが、これから企業がセキュリティを強化する上で重要です」と話しました。

今後のビジネスを考える上で、DXは極めて重要な要素となるのは間違いありません。またテレワークをはじめとする新たな働き方は今後も広がっていくでしょう。このような変化の中でセキュリティ対策をどのように講じるのか、今後も脅威を増し続けるサイバー攻撃から事業をどのように守るべきかについて、改めて考えてみる必要があるのではないでしょうか。

  • Facebook
  • Twitter
  • LinkedIn
NRIジャーナルの更新情報はFacebookページでもお知らせしています

お問い合わせ

株式会社野村総合研究所
コーポレートコミュニケーション部
E-mail: kouhou@nri.co.jp

NRI JOURNAL新着