場当たり的な投資が現実か 情報セキュリティ実態調査

IaaSやSaaSといったクラウドサービスの利活用が進み、情報セキュリティ対策にも新たな環境整備が求められている。企業における情報セキュリティ対策動向が気になるところだ。今回は、企業における情報セキュリティ対策の実態について概観していきたい。

[登坂恒夫，IDC Japan]

アナリストプロフィール

登坂恒夫（Tsuneo Tosaka）：IDC Japan ソフトウェア＆セキュリティリサーチマネージャー

国内情報セキュリティ市場（セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場）を担当。市場予測、市場シェア、ユーザー調査など同市場に関するレポートの執筆、データベース製品のマネジメントの他、さまざまなマルチクライアント調査、カスタム調査を行う。

いまだコロナ禍、21年のセキュリティ投資はどう変わるのか

　多くの企業でIT環境の整備が進む中、安全に利用するための情報セキュリティ対策に多くの企業が投資を進めている。そんな情報セキュリティ対策について、IDC Japanが2021年1月に実施した国内企業883社に対する情報セキュリティ対策の実態調査から、その動向について見ていきたい。

　まずは、企業における情報セキュリティ投資の増減率について見ていこう。今回調査した結果では、2020年度については2019年度に比べて投資を増やすと回答した企業が31.0％となり、減らすと回答した企業14.3％を上回った。

　また、2021年度の投資見込みでは、2020年度を上回ると回答した企業は全体の30.6％となり、下回ると回答した企業14.9％を超えていることから、情報セキュリティ投資は増加傾向にあることが分かった。新型コロナウイルス感染症（COVID-19）の影響もあり、2020年度に比べて投資額を抑制する比率が若干ながら高いものの、2020年度が大きくプラスとなっていることから、引き続き堅調な伸びを示すと見ている。

出典：IDC Japan

　重点的に投資する項目には変化があっただろうか。

　そして重点的に投資をする項目で見た場合、全体の回答で見るとファイアウォールやVPNなど境界防御としてのネットワークセキュリティやエンドポイント対策をはじめとした外部脅威対策がその中心にあり、これまでの投資優先度とさほど大きな変化は見られない。

　実は今回の調査では、56.6％の企業がセキュリティ予算は決められてないと回答しており、企業内で必要な対策を見極め、計画的に投資を進める流れには至ってないと考えられる。計画的に投資を進めるのであれば、従来型のネットワークセキュリティはゼロにはならないものの、IDaaSなどのアイデンティティー／アクセス管理やCASBのようなクラウドセキュリティゲートウェイに代表されるクラウドセキュリティの優先比率がこれまで以上に高まることで、健全な推移になると予想できる。

　事実、2020年度に投資を増やすと回答した企業では、ネットワークセキュリティはもちろん、アイデンティティー／アクセス管理、クラウドセキュリティを投資重点項目としている企業が多いことが調査結果から明らかになっており、投資に意欲的な企業は計画的なセキュリティ投資を行っている傾向も見て取れる。

　しかし前述した通り、多くの企業では現場の声や取引先からの要請に沿って急きょ対策を実施するなど“場当たり的”な投資にならざるを得ないケースが多いようだ。計画的な投資には、当然ながら予算をしっかりと確保する環境が必要で、現場と経営層をビジネスリレーションするCIO（Chief Information Officer）やCISO（Chief Information Security Officer）の役割が重要になることだろう。

リモートワークにおける情報セキュリティ対策の鍵は？

　次に具体的な情報セキュリティ対策についてもみる。今回は、脅威管理、アイデンティティー／アクセス管理、セキュアコンテンツ管理といった12項目について情報セキュリティ対策の導入状況について聞いた。主に外部脅威対策が進んでいるものの、情報漏えい対策やデータ管理などの情報ガバナンス強化とコンプライアンス対応への対策は遅れていることが明らかになった。

　外部脅威対策はもちろん重要だが、SaaSやIaaSなどクラウドサービス利用が進むことで境界防御の考え方だけでは十分な情報セキュリティ対策が難しく、データをどう使わせるのかがこれまで以上に重要になってくるはずだ。ビジネスがデータドリブンになってきている今、データの信頼性を確保するためにも、DLP（Data Loss Prevention）をはじめとしたデータ中心の情報セキュリティ対策について検討を進めていくべきだろう。

　また、ワークスタイルがリモートワーク中心に移行しつつある今、リモートワークにおける情報セキュリティ対策の中心はEDR（Endpoint Detection and Response）をはじめとしたエンドポイント対策や、コンテキストも含めて判断するアクセス管理などがその中心にあると回答する企業は多い。

　ただし、この領域に関しても計画的な投資というよりは、どこから手を付けていいのか手探りの状況で、社外にあるエンドポイントと企業へのアクセス部分を制御するアクセス管理への対策を強化する企業が多いと考えられる。

　実際には、リモート環境での情報セキュリティ対策についても、最終的には脅威の着弾点となりうるデータを中心に対策を検討しなければならない。リモートワークを安全に実施できる環境こそがデータの流動性を高め、DXを前進させる鍵となるだろう。

被害を受けた企業の4割強がランサムウェアという現実

　直近の1年間で受けたセキュリティ被害については、被害にあったと回答した企業が56.3％だ。被害の実態については、従来あるマルウェア被害やビジネスメール詐欺（BEC）などが上位となっているが、特徴的なものとして大きなインパクトだったのが、被害を受けた企業の42.5％がランサムウェア感染を経験していることだ。

　ランサムウェア被害からの復旧方法は、事前に取得したバックアップデータを用いる方法が一般的だが、ランサムウェアに感染した企業の半数以上はセキュリティベンダーから提供される暗号化ツールで復旧していると回答している。もちろん復旧できないケースはあるものの、既知のランサムウェアによる被害に対しては、セキュリティベンダーから提供されるツールによって復旧可能な状況にあるようだ。ただし、実際に要求通りに身代金を支払った上で復旧したと回答した企業も3.8％ほど存在し、支払ったものの復旧できなかったと回答した企業も含めて、攻撃者の要求を飲まざるを得ないケースも見受けられる。

　なお、導入したセキュリティシステムだけで全てのインシデントを検出できる状況ではないことも調査から見えた。セキュリティシステムでインシデントが検出できた企業は5割弱で、顧客やパートナー、社員、第三者からの通報によってインシデントを発見した企業は2割程度と回答している。セキュリティ被害を前提に、被害の発生を早期の検知し対処できるセキュリティ製品の導入と組織体制の構築が、被害を最小限に抑える。

リモートワーク環境で加速するクラウド利用、そこで懸念される設定ミス

　リモートワークを実施している企業やリモートワークを検討している企業が懸念しているセキュリティ脅威については、エンドポイントデバイスでのマルウェア感染が最も多く、次いでオンプレミスのIT資産、そしてクラウドサービスへの不正アクセスによる情報漏えいだった。また、それと同じくらい人為的ミスによる情報漏えいを懸念している企業は多いことが明らかになっている。

　特に設定ミスなどの人為的なミスを回避するためには、少しずつ市場でも広がりを見せているポスチャ―管理ソリューションが有効だろう。ポスチャ―管理はクラウドセキュリティ関連のソリューションに組み込まれつつあり、機能を拡充するために企業買収なども積極的に行われている状況にある。一例を挙げると、2018年にチェック・ポイント・ソフトウェア・テクノロジーズが買収した「Dome9」などがポスチャ―管理の代表的なものだ。

　オンプレミス環境に比べて、クラウドサービスでは設定ミスが致命的な被害をもたらすことも十分考えられるため、ポスチャ―管理はこれまで以上に重視される。特にクラウドサービスでは、設定するコンフィギュレーションの数が多いだけでなく、常に新たな機能が追加されるため、もはや人手で適切な設定かどうかを運用管理することが困難になりつつある。クラウドプラットフォーム上で設定の最適化が可能な機能を提供しているものもあるが、マルチクラウド環境での運用には、複数のプラットフォームを横断的に見るソリューションが欠かせない。ポスチャ―管理そのものの認知度はまだ十分ではないが、これから注目されるソリューションとなるだろう。

これまでの情報セキュリティ人材に足りないもの

　今回の調査では取り上げていないが、情報セキュリティ対策には、人材や組織の面でも新たな考え方を取り入れていく必要がある。

　従来型のネットワークセキュリティを中心とした対策はネットワークエンジニアが中心となって講じていたが、利用が拡大するクラウドサービスでの情報セキュリティ対策には、アプリケーションエンジニアはもちろん、オープン系に長けたクラウドエンジニアなどの人材が適している。

　日本の場合は、もともとファイアウォールなど境界防御の情報セキュリティ対策が中心だったため、ネットワークエンジニアに近い人材が担当する機会がいまだ多く、アプリケーション領域までの対策は難しいこともある。セキュリティにおいては従来とは異なる領域を専門とする人材が求められる。

　もっと言えば、情報セキュリティにおいては、テクノロジー含めたサイバー的な側面とともに、業務システムを理解したうえでコンプライアンスやガバナンスの側面双方で安全性を吟味するなど、より複雑な環境に対応しなければならない。日本の場合は、情報システム部門がセキュリティ回りを担当することが多いため、法務部門や総務部門、危機管理室など管理部門が管轄するコンプライアンスなどには疎いケースも少なくない。

　企業のセキュリティを横断的に見る人材なり組織が必要で、その責任者としての役割が注目されている。グローバルでは、会社全体の信頼を担保するための最高信頼責任者（Chief Trust Officer）と呼ばれる役割を担う職責もあるほどで、いずれはファイナンスからコンプライアンス、ガバナンス、そしてシステム全体まで含めて見ていく人材、組織体制を構築していく必要があるだろう。