調査で分かった829社のセキュリティ対策実態2019

IDC Japanは、国内企業の情報セキュリティ対策 実態調査結果を発表した。2019年のセキュリティ投資分野やCSIRTの設置状況、過去1年のセキュリティ被害状況と被害額などについて明らかにした。

[キーマンズネット]

　IDC Japanは、国内ユーザー企業829社を対象に実施した情報セキュリティ対策の実態調査結果を発表した。

　同調査によれば、2019年度の情報セキュリティ投資を増加するとした企業は、エンドポイント対策、Webセキュリティ、ネットワークの分野への投資を検討していることが分かった。また、6割の企業ではセキュリティ予算を決めておらず、2018年度と変わらないと回答した。

　CSIRT（Computer Security Incident Response Team）およびSOC（Security Operation Center）の設置状況についても尋ねた。その結果、3000人以上の企業では50％近くが設置しており、セキュリティ体制の状況は従業員規模に比例する傾向が見て取れた。

　懸念するセキュリティ脅威については、主に「未知のマルウェアやゼロデイ攻撃」（59.4％）、「部内者の人的ミスによるインシデント」（54.6％）に回答が集まった。セキュリティ導入の際の課題については、「予算の確保」「導入効果の測定が困難」と回答した企業が多い。

　過去1年間でセキュリティ被害に遭った企業は14.2％と、2018年1月に実施した調査結果とほぼ変わらず横ばいであった。ランサムウェア被害に遭った割合は8％と2018年よりも2ポイント減少した。重大なセキュリティ被害に遭った企業は25.2％と、前回の結果（26.7％）からわずかではあるが減少した。

　復旧や賠償金などにかかった費用は、「500万円未満」37.3％（1.8ポイント増）、「500〜1000万以上」15.8％（5.7ポイント増）だった。1件当たりの被害額は増加傾向であると考えられる。

　また、サイバーレジリエンスを高めるため、EDR（Endpoint Detection and Response）やMDR（Managed Detection and Response）の利用は23.4％と堅調だ。統合管理を行うオーケストレーション製品やサービス、AIや機械学習による自動化は、インシデントレスポンスの迅速化とセキュリティ人材が不足している企業からの期待もあり、今後の成長が見込まれる。

2012年度から2019年度の情報セキュリティ関連投資の前年度と比較した増減率（出典：IDC Japan）