IDCが企業セキュリティ状況を調査

セキュリティ対策

 IDC Japanは、4月9日に「2021年国内企業における情報セキュリティ対策実態調査報告」を発表した。本調査では、企業の情報セキュリティ導入・管理に関する提言を紹介している。

 本調査報告のオンライン説明会では、同社のソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫氏がユーザー企業の懸念するセキュリティ脅威に関するアンケート結果について説明した。それによると「既知のマルウェア」を「脅威である」と回答している企業の割合が73.0%と一番多い結果となったという。一方、マルウェアを懸念する回答に次いで「社員の(クラウドの設定などの)ミス」と回答している企業も66.0%と半数以上を占め、「外部の脅威だけでなく、人為的なミスも懸念材料となっています」と登坂氏は指摘する。

 それでは、ユーザー企業が実際に強化したセキュリティ対策を見ていこう。一番多かったのは「アクセス管理」で46.1%。その次に「EDR導入などのエンドポイントセキュリティ」が、44.6%と実施率が高くなっている。しかし、今後強化する対策については、強化を実施した対策と差異はなく「今後のセキュリティ対策への計画は見えてきておりません」と現状を分析している。こうした状況を踏まえると、企業のセキュリティ対策の傾向として、端末のアクセス管理やエンドポイント対策などは行われているものの、組織レベルのセキュリティ体制は整っていない企業が多いと言えるだろう。

計画的なセキュリティ投資を

 登坂氏は、ユーザー企業がセキュリティ対策を実施する時に考慮するポイントとして三つのポイントを提言している。まず一つ目のポイントとして「クラウドの設定ミスの修正を含めたセキュリティ強化が可能な『Cloud Security Posture Management』(CSPM)などを利用して脆弱性をチェックし、人為的ミスを回避する必要があります」と登坂氏は指摘する。二つ目のポイントは、セキュリティ被害の発生を前提とした被害の早期発見ができるEDRなどの製品の導入だ。

 三つ目のポイントとしては、計画的なセキュリティ投資を行うことの重要性を指摘している。「新型コロナウイルス感染拡大以降、不確実性の高まっている時代では、計画的に投資を行うことがより求められます。DXの取り組みとセキュリティを検討して、予算化することが重要です」(登坂氏)