セキュリティ対策の最優先課題はやっぱりアレ……Dell EMCの実態調査レポート2019

KPMGコンサルティングとEMCジャパンのRSAが、企業におけるサイバーセキュリティ対策状況をまとめた「サイバーセキュリティサーベイ2019」を発表した。サイバー攻撃および不正侵入の検出状況や、企業にセキュリティ対策の最優先課題は？

[キーマンズネット]

　KPMGコンサルティングとEMCジャパンのRSAは2019年10月3日、「サイバーセキュリティサーベイ2019」を発表した。国内の上場企業と、売上高400億円以上の未上場企業を対象に、企業のサイバーセキュリティ対策に関する実態調査を実施し、結果をまとめたレポートだ。過去1年におけるサイバー攻撃や不正侵入の検出状況、今後取り組みたいサイバーセキュリティ対策の領域、マネージドサービスの利用状況などが明らかになり、企業における最優先課題が見えてきた。

　まず、過去1年間でサイバー攻撃や不正侵入の痕跡を発見したと回答した企業は21.1％だった（図1）。2018年の調査と比べると10.2％ポイント減少したという。不正侵入に気付いたきっかけとしては「サイバーセキュリティ部門による監視」（37.1％）が最も多く、次いで「社員からの通報」（34.3％）、「委託先ITベンダーからの通報」（17.1％）が続いた。まとめると、88.5％が自社内で不正侵入を検出していた（図2）。

図1　サイバー攻撃による不正侵入の痕跡を発見した企業（出典：KPMGコンサルティング,EMCジャパン RSA）

図2　最初の侵入の兆候に気付いたきっかけ（出典：KPMGコンサルティング,EMCジャパン RSA）

　ただし、自社で認識できていないサイバー攻撃による被害発生の可能性については、「発生していないと思う」と回答した割合は38.6％にすぎず、被害発生を見落としている可能性を認識している割合は61.4％に上った（図3）。

自社で認識できていないサイバー攻撃による被害発生の可能性（出典：KPMGコンサルティング,EMCジャパン RSA）

2019年度に企業が取り組みたいサイバーセキュリティ対策は？

　次に、2019年度のサイバーセキュリティ対策への投資額について聞いた。2018年度と比べて「横ばい」が57.9％、「増加」が38.5％で、全体として増加傾向にある。その半面、投資額の規模については半数以上が不足を感じていた。具体的には、「やや不足」と回答した割合が46.5％、「大いに不足」が13.2％だった。

　一方、今後取り組むサイバーセキュリティ対策の領域では、人材育成が最優先課題だと分かった。「セキュリティ監視の強化」（52.1％、複数選択）や、「内部不正対策」（50.5％）、「IoT／クラウド環境におけるセキュリティ対策」（49.5％）といった具体的な対策を抑えて、「サイバーセキュリティ人材の育成」（56.2％）を挙げた企業が最も多かった（図4）。サイバーセキュリティ対策組織の人数について、46.2％が「やや不足」、39.4％が「大いに不足」と回答したことからも裏付けられる。

図4　今後より積極的に取り組みたいと考えているサイバーセキュリティ対策領域（出典：KPMGコンサルティング,EMCジャパン RSA）

　ただし、自社組織の人手不足を感じているものの、外部の専門家によるサービスを活用している企業は少なく、契約していると回答した企業は25.6％だった。契約しているサービスの種類で最も多かったのは「マルウェア解析」で75.7％（複数選択）。次いで、「ネットワーク解析」が58.1％、「フォレンジック調査」が51.4％、脅威インテリジェンスが29.7％だった。特定のインシデントや事後調査のために活用している傾向があった。

　今回の調査の対象企業のうち、31.9％が制御システムやプラント、工場での事業に取り組んでいた。そうした制御システムのセキュリティ対策について、十分にできていると回答した企業は多くない結果となった。

　例えば、無線ネットワークの対策が十分にできていると回答した割合は11.0％。パッチ適用や脆弱（ぜいじゃく）性スキャンなどの脆弱性管理は9.0％。リアルタイムアラートや改ざん対策などの統合ログ管理は4.0％だったという（図5）。

図5　制御システムセキュリティ対策の実施状況（出典：KPMGコンサルティング,EMCジャパン RSA）

　なお、本調査は2019年5月30日〜6月25日と8月21日〜9月6日の期間で、郵送およびWebによるアンケートを基に実施した。