IDC Japanは3月31日、国内企業638社を対象とした情報セキュリティ対策実態調査の結果を発表した。2014年度の情報セキュリティ投資は、2013年度に続いて増加傾向を示し、中でもモバイル向けセキュリティ対策への投資意欲が強いことが判明した。

2012年度と比較した2013年度の情報セキュリティ関連投資の増減率を調査した結果、2012年度と比べて「増加している」と回答した企業が18.6%となり、「減少する」と回答した企業(11.0%)を上回った。

また、2014年度の情報セキュリティ関連投資見込みでは、2013年度を上回るとした企業は全体の20.1%、「減少する」と回答した企業は11.0%であった。

情報セキュリティ投資は、標的型攻撃が急増した2011年度から増加傾向に転じ、2012年度および2013年度と増加傾向が続いた。IDCでは、この傾向が2014年度も増加傾向は続くと予測している。なお、2014年度にセキュリティ投資を増加する企業のうち、モバイル向けセキュリティ対策を投資重点項目としている企業が多く、この分野への投資意欲が強いことが判明した。

今回の調査では、脅威管理、アイデンティティ/アクセス管理、セキュアコンテンツ管理など15項目の情報セキュリティ対策について導入状況を尋ねている。情報セキュリティ対策の導入率は、ファイアウォール/VPN、PC でのアンチウイルスが6割以上と外部からの脅威管理の導入が進んでいるが、情報漏洩対策やアイデンティティ/アクセス管理、セキュリティ/脆弱性管理といった内部脅威対策の導入率は4割ほどと遅れている。

セキュリティ被害では、ウイルス感染被害に遭遇した企業が3割以上と最多であった。また2013年1月の調査結果と比較すると、Webアプリケーションサーバや業務アプリケーションサーバ、製造ライン、POS端末でセキュリティ被害を受けたと回答した企業の比率が高まった。セキュリティ被害に遭遇した企業では、24時間以内に被害を収束させた企業が最も多く、最高セキュリティ責任者(CSO)や最高情報責任者(CIO)を設置している企業が、設置していない企業よりも、被害の収束時間が短い傾向にあることが分かった。

IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「ユーザー企業は、セキュリティインシデントを監視/分析するセキュリティインテリジェンスと、ガバナンス/リスク/コンプライアンス(GRC)のソリューションを導入し、潜在的なセキュリティ脅威の可視化を行うべきである。これによって、セキュリティインシデントをリスク管理に紐付けることができ、導入効果を可視化し、経営層に導入の必要性を提示することができる」と述べている。

2012年度~2014年度の情報セキュリティ関連投資額の前年度と比較した増減率、前回(2013年1月)と今回(2014年1月)の調査比較