NRIセキュアテクノロジーズは2013年1月9日に「企業における情報セキュリティ実態調査2012」の結果を公開した。調査は2012年8月24日~10月4日にかけて郵送にて企業にアンケートを実施し741企業から回答を得た。今回の調査では近年生じたサイバー攻撃の多様化、スマートデバイスなどの普及、震災などの被害によるセキュリティ脅威の動向などから以下4つの問題点が明らかとなった。
セキュリティ人材の不足
今回の調査で、売上規模に関係なく84%以上の企業でセキュリティ人材が不足していると回答し、また売り上げ規模が大きい企業ほどセキュリティ対策のために社外人材の活用を積極的に増やす傾向にあり、主に外部からの不正侵入に関する監視やセキュリティテストなどシステム面での対策を外部に委託している一方で、マネジメント面では外部委託には消極的であった。
増やせぬセキュリティ対策費用と本格化する標的型攻撃
企業は売上規模が大きい企業ほど標的型攻撃を受ける傾向にあり、売上規模に応じてセキュリティ投資額が増加傾向にある企業の割合が増加している一方で、セキュリティ投資額に関しては前年度と比較して現状維持が9%増加している。また、標的型攻撃への対策は売上規模に応じて対策実施率は増加するものの、もっとも実施されているシステム面の「重要データへのアクセス制限」や「侵入検知システムの導入」対策でも40%程度となっており、マネジメント面の対策実施率は全体で12%と十分とは言えない結果となった。
見直しが迫られるBCPとIT-BCP(BCP:災害や事故など発生した際に一定時間内に再開するための行動計画)
企業でのBCPやIT-BCPの取組状況の調査では、51%の企業が両方とも策定されていないと回答した。また、BCPやIT-BCPを策定している企業でもBCPで29%、IT-BCPで24%は重要データ・システムの絞り込みや目標復旧時間の設定を行っていないと回答した。しかし、今年度重視したい情報セキュリティ対策に41%の企業がBCP/IT-BCPの策定と改善をあげた。
スマートデバイスのセキュリティ対策の遅れ
スマートデバイスの業務導入を積極的に行うと答えた企業は53%で導入を行わないと回答した23%を大きく上回った一方で、過去1年間に発生した情報セキュリティに関する事故や事件では携帯電話、スマートデバイスの紛失や置き忘れが32%と最も多く、次いで電子メール誤送信が27%、ノートPCの紛失や置き忘れ、社員証・入館証の紛失や置き忘れが21%と続いた。また、スマートデバイスの導入に伴い、セキュリティ統制を重点課題とする企業が前年の8%から39%に増加した。