セキュリティ対策遅れが表面化する日本企業

　NRIセキュアの実態調査によると、DXに取り組む日本企業は30.7％と、米国企業（85.3％）、シンガポール企業（85.6％）の半分にも満たない。


　DXに必要なスキルやナレッジを持つ人材の育成や獲得に課題があるからだ。デジタル化への経営層の後押しが弱いことも影響する。調査回答者の情報システム担当者や情報セキュリティ担当者らの3割弱がDXを「分からない」との回答からも、デジタル対応への遅れがうかがえる。

DXでセキュリティのルールが変わった

　DXに取り組む企業の半数以上がセキュリティ対策を実施している。その多くが「DXでセキュリティの要請が変わっている」と認識し、ルールや対策更新などに対応したり、対応の検討を予定したりする。だが、先進的なセキュリティ製品やサービスを導入する日本企業はまだ少ない。

　「ユーザーのクラウド利用の可視化や制御」や「セキュリティ運用の自動化および効率化技術」「遠隔地からの端末脅威探索、アラート、インシデント時の隔離や分析の実施」といった既存ビジネスの業務プロセスを改革するフェーズ（DX1.0）の対策は進めている。

　一方、「セキュリティチェックの継続的開発運用プロセスへの組み込み」や「アプリケーションセキュリティの動的テスト」などビジネス変革フェーズ（DX2.0）に必要なソリューションを導入する企業は極めて少ない。


　理由の1つは、デジタルビジネスのリスクに対する認識不足にある。当然、「QR式決済」だけの話ではない。不十分なアカウント管理やアクセス制御が不正アクセスを許し、サービス停止に追い込まれた事件は枚挙に暇がない。

　NRIセキュアの足立道拡GRCデジタルプラットフォーム部部長は「開発・提供するサービスを使う人、使い方を議論し、どんなレベルになったら、サービスをローンチするのかあらかじめ決めておくこと。それをマネジメントとテクノロジーの両面から考える」と説明する。

　ビジネスのスピードだけを重要視し、セキュリティ対策を後回しにすると、大きな事件や事故につながる可能性を指摘する。ハイブリッドクラウドなど新しいテクノロジーがリスクを高めることも理解しておく必要があるという。

情報セキュリティ責任者に就く経営層は増えているが……

　そんな情報セキュリティ対策を経営戦略ととらえる企業は、経営層をCISO（最高情報セキュリティ責任者）に就けている。ちなみに、日本企業の5割強がCISOを設置し、その7割近くが経営層である。

　米国やシンガポールの企業も、ほぼ同じ割合で経営層がCISOになっているが、CISOを設置する割合が両国とも8割超と高い。セキュリティ事件、事故の影響を最小化する専門チームともいえるCSIRTを設置する日本企業も少ないという。


　それらの差がセキュリティ予算に表れている。IT関連予算に占めるセキュリティ関連予算の割合が10％以上とする回答は、日本企業の約30％に対して、米国企業は80％弱、シンガポール企業は70％弱になる。新しいセキュリティ対策に振り向ける費用も、海外企業に比べて日本企業は少ない。サイバー攻撃や個人情報保護の重要性が、いまだ十分に浸透していないことも要因だろう。

　たとえば、GDPR（EC一般データ保護規制）の対応を「不要」とする回答が約32％もある。対象となるデータを保持していないからだが、個人情報などデータの扱い方のルールは変わることを考えておく必要はあるだろう。

【次ページ】増える情報セキュリティ責任者に就く経営層