セキュリティの脅威が高度化する中、国内組織は十分な対策を施すための予算を獲得できているのか。国内組織とグローバル組織の予算獲得状況に違いはあるのか。調査結果を基に見ていく。
セキュリティ対策の重要性が叫ばれているが、国内の企業や組織(以下、組織)は十分なセキュリティ予算を獲得できているのだろうか。その予算は世界の組織と比べて、どの程度の水準にあるのか。ソーシャルメディア、モバイル、ビッグデータ、クラウド、IoT(モノのインターネット)といった新テクノロジーがもたらす新たなセキュリティリスクに対して、適切な備えができているのだろうか。
本連載は、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」(GISS:EY Global Information Security Survey)の結果を基に、国内組織のセキュリティ予算獲得状況と将来の見込みを示し、そこから見えてくる課題を整理する。GISSは、EYとEYアドバイザリー・アンド・コンサルティング、新日本有限責任監査法人が毎年実施している調査だ。本稿ではその最新版(以下、GISS2017-18)の結果を参照する。
2017年も、組織や個人に対するセキュリティの脅威が、数多く明るみに出た。ITやセキュリティの専門メディアのみならず、一般紙がその被害を報じることも珍しくなくなった。以下のインシデント(セキュリティ事件/事故)は、セキュリティ専門家でなくても記憶に新しいところだろう。
一方で気になるデータがある。GISS2017-18で「重大なインシデントは発生していない」と回答した組織は、グローバル組織では43%だったのに対し、国内組織では69%と顕著な違いがあったことだ。この回答を素直に見れば、国内ではグローバルと比べて、重大インシデントの発生組織数が少ないことになる。だがサイバー攻撃のグローバル化が進む今、ここまで大きな差が生まれるとは考えにくい。むしろ「国内組織はインシデントに関する感度が低下しているのではないか」という懸念を持つのが自然だ。
サイバーセキュリティ攻撃は組織化やビジネス化が進み、ますます高度化し洗練されてきた。その結果、組織は攻撃を受けたことを認識しにくくなり、攻撃発生から認識までの期間が長期化している。経済産業省もこうした状況を踏まえ、経営者向けの「サイバーセキュリティ経営ガイドライン」を改定した。2017年11月に公開したバージョン2.0は、経営者が認識すべき「3原則」を従来版から維持しつつ、「検知」「復旧」といった事後対策の強化に触れ、国際的なガイドラインとの整合性を確保した。「事前対策だけでは昨今のサイバー攻撃に対処することが困難」との認識に基づいた変更だといえる。
セキュリティ対策がますます難しくなる中、国内組織は、その活動に必要な予算を獲得できているのだろうか。参考になるのが、民間企業のIT活用状況を調べた経済産業省の年次調査「情報処理実態調査」だ。この2016年版(2017年3月発表)の結果によると、IT関係支出総額に占める情報セキュリティ対策費用の割合は、国内組織の全業種平均で2.6%。年間事業収入100億円以上の企業では2.6%、100億円未満の企業では6.8%となっている。
この予算規模で十分かといえば、そうとはいえない。
フォルクスワーゲンがGoogleとタッグ 生成AI「Gemini」搭載で、何ができる?
Volkswagen of AmericaはGoogleと提携し、Googleの生成AI機能を専用アプリ「myVW」に導入...
JAROに寄せられた「広告への苦情」は50年分でどれくらい? 業種別、媒体別の傾向は?
設立50周年を迎えた日本広告審査機構(JARO)が、これまでに寄せられた苦情を取りまとめ...
データサイエンティストの認知率は米国6割、インド8割 さて、日本は?
データサイエンティスト協会は、日本と米国、インド、ドイツの4カ国で、データサイエンテ...