セキュリティ予算は増額、なのに「基本的な対策止まり」の理由は? 【実態調査】:30の質問で暴く情シスの実態 2024年
セキュリティ予算は減っていないのに、多くの企業では基本的なソリューションの導入しか考えていない。なぜもう一歩踏み込んだセキュリティ戦略を立案できないのだろうか。
情報システム部門が担う業務は多い。中でも面倒なのがサイバーセキュリティだ。苦労が多く、報われないことも多い。
情報システム部門の方々の働き方や本音を探るため、キーマンズネットでは情シスの「働き方と情報共有」「セキュリティ対策」「キャリア/スキル」「採用状況」「業務内容」のテーマで読者調査を実施した(実施期間:2024年8月7日〜10月4日)。
本稿では、「セキュリティ対策」にフォーカスして、情報システム部門の現状や課題を紹介する。
予算はあるのに初歩的な対策にとどまっている理由とは
セキュリティ対策を立てる際にネックになるのは「予算」や「人」の課題だ。勤務先のセキュリティ対策の課題について聞いたところ、32.1%が「導入・運用コスト」と回答し、次いで「人員の不足」(23.6%)、「ノウハウの不足」(11.4%)、「従業員のITリテラシーが低い」(8.9%)が挙がった(図1)。最大の課題は予算であり、次いで2〜4位は人という回答だ。
セキュリティ対策にかける予算が減っているかというと、そうではなさそうだ。勤務先におけるセキュリティ対策予算の増減を尋ねたところ、61.4%が「ほぼ同一」と回答しており、「増えた」が20.7%で、「減った」は3.3%と少ない。従業員数別では回答者246人のうち、29.3%を占める100人以下の企業で「ほぼ同一」が72.2%だった他は、大きな偏りがなかった。
増額幅についてさらに聞いたところ27.5%が「15%以上」だった(図2)。つまり予算は増額傾向にある。
予算は「増えた」「ほぼ同一」が回答の多くを占めるが、セキュリティ課題として「導入・運用コスト」の回答割合が高い。予算が増額傾向にあるにもかかわらずコストが課題として挙がるのは、ある理由が考えられる。
予算は増額傾向だが、基礎的なソリューション導入にとどまる理由は?
理由の一つとして考えられるのは高価なソリューションを導入しようとしている可能性だ。
それを確かめるために現在導入しておらず、今後1年以内に導入を検討、予定しているセキュリティ対策を聞いたところ、図3のような結果となった。
図3の結果から、この仮説は正しくないようだ。
最も多かった回答は「USBメモリなどの外部メディアの利用制限」(11.4%)であり、同率で「EDR(エンドポイントでの脅威の検出と対応)」、次に「メールセキュリティ」(9.3%)が並んだ。従業員別で見てもこの傾向は変わらない。いずれも比較的初歩的なセキュリティ対策であり、予算を圧迫するものではない。高価なソリューションを導入しようとしているという仮説は当てはまらない結果となった。
ランサムウェア攻撃やデータ窃盗に備えるには「認証/シングルサインオン/特権ID管理」や「統合ログ管理(SIEMなど)」「データのバックアップ」が有効だが、これらはそれぞれ、7.7%、6.5%、5.3%と少なかった。
実は人員の不足が効いているのでは
セキュリティ対策の基本はどのような企業であってもさほど変わらないが、個人情報や設計図データを大量に保存している企業や、ECサイトを運営していて停止が許されない企業、さまざまなSaaSに全面的に依存している企業など、それぞれ重点が異なる。つまり、企業ごとのセキュリティ戦略の立案、実行が味付けとして欠かせない。
そこでこの1年間で特に時間を費やした業務を聞いたところ、22.4%が「PCなどの端末調達やキッティング業務」だった。「ヘルプデスク業務」(16.3%)や「システムの開発・構築」(10.2%)、「システム障害発生時の復旧や社内対応」(6.5%)が続き、「セキュリティ戦略、施策の立案」(5.7%)は7番目だった。
具体例の一つとして実施している脆弱(ぜいじゃく)性対策を聞いたところ、69.5%が「脆弱性に関する定期的な情報収集」と回答した(図4)。「脆弱性管理ツールの導入」「定期的な脆弱性診断の実施」「脆弱性発見時の運用手順策定」「脆弱性対応のポリシー策定」など戦略、施策の立案に関する回答はいずれも3割以下だった。肝心な部分に時間を費やすことができていないようだ。ただし、従業員数5001人以上の企業では定期的な情報収集以外の数字が10ポイント以上高かった。
2024年上半期を振り返って、情シス業務の中でも特に面倒だったことやトラブルについて聞いたところ、次のような回答が目立った。
- セキュリティ対策(ランサムウェア対策など)
- 脅威やセキュリティソリューション変化
- セキュリティパッチ適用が特定の端末で適用されない事象についての分析
- CrowdStrikeトラブル
- セキュリティ機能のクラウド移行の説明
ここから分かるのは日常の運用・管理に時間を取られたり、セキュリティインシデントへの対応に迫られたりした結果、それ以上先に進めない姿だ。これでは導入・運用コストもうまくコントロールできないだろう。
人員の不足を解決するには方法は幾つかある
セキュリティ人材の課題を解決する方法は短期的なものから長期的なものまでさまざまだ。以下に挙げる対策はいずれも経営層の理解が必要になる。
まずは業務委託や外部人材の活用だ。正社員にこだわらないことで、フリーランスエンジニアや技術者派遣人材を活用でき、専門性と意欲のある人材にセキュリティ業務を任せられる。社内に人材を招き入れるという意味では給与とキャリアパスの改善も有効だ。
もう少しハードルが低いのは社内でのセキュリティ人材の育成だ。研修やeラーニングプログラムを立案し、資格取得を目安にするなどの方法が考えられる。
そもそも運用・管理の問題を抑えるという対策も役立つ。従業員に対して継続的な教育とトレーニングを提供することで、ヘルプデスク業務やシステム障害発生時の復旧や社内対応の負荷を減らすことができ、セキュリティ戦略、施策の立案のための時間が生まれるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2025年のセキュリティ予算はどうなるのか 企業の判断に影響を与えたあの事件
2025年のセキュリティ予算がどうなるのか。年末が見えてきた現在、気になる話題だ。Gartnerはある事件がきっかけとなって、セキュリティ予算が影響を受けると指摘した。
なぜ企業はサイバーセキュリティに本気になれないのか? 調査から原因を探る
サイバーセキュリティは必要だ。だが技術的な内容を含むため分かりにくく、自社の問題としてとらえることが難しい場合がある。どうすればよいのだろうか。
セキュリティ対応に課題が残るVMware製品【セキュリティニュースまとめ】
2024年10月21日週は、VMware vCenter Serverのセキュリティアップデートに失敗したBroadの他、Fortinetの「FortiManager」に深刻な脆弱性が見つかったことなどが報じられた。