NRIセキュアテクノロジーズは1月27日、「企業における情報セキュリティ実態調査 2014」の結果を発表した。東証一部・二部上場企業を中心とする3000社の情報システム・情報セキュリティ担当者を対象としている。

「企業における情報セキュリティ実態調査 2014」特設サイト

初めに、情報セキュリティ関連事故の対応専門組織であるCSIRTを構築済みであると回答した企業は、昨年度の19.0%から2.2倍の41.8%と大幅な伸びを見せた。

CSIRT構築の主な目的として、CISRTを「構築済み」および「構築中」の両回答企業に訪ねたところ、「インシデントに対し迅速に対応できる(60.8%)」「組織としてインシデントに対応できる(59.7%)」「インシデント 対応フローが明確になる(45.6%)」「インシデント対応のノウハウを集約できる(32.2%)」に回答が集まった。

昨今のサイバー攻撃の高度化、セキュリティ関連事件・事故に関する報道の増加などに加え、CSIRTを多くのメディアが取り上げ、その機能や目的、必要性などが広く認知されたことにより、構築を進める企業が増加したとしている。

2014年度の情報セキュリティ関連投資額を前年度より増額すると回答した企業は、全体の31.4%。2012年度は19.6%、2013年度は26.1%と、過去3年で最大となっている。これは、本年度にIEゼロデイ等の脆弱性や、大規模な情報漏えい事故が多数報道され、情報セキュリティへの注目が集まったことに起因すると考えられる。

情報セキュリティ対策に従事する人材について、「不足している」と考える企業が全体の82.9%に上り、3年連続で8割を超える。不足人材の種類については(複数回答)、「脅威情報の収集・伝達や発生したインシデントに対応する人材(64.7%)」「セキュリティに関する中長期的な戦略・ポリシーを策定する人材(64.0%)」「システムに対する不正な通信やアクセス等を監視する人材(55.0%)」と、高度なスキルを持った人材に回答が集中した。

さらに、2014年度に重視するセキュリティ対策は、昨年3位だった「スマートデバイス利用時のセキュリティ対策・ルール整備(企業全体の40.0%)が1位となった。

また「クラウドサービス利用時のセキュリティ対策・ルール整備(24.8%)」が昨年の6位から4位へと大幅に上昇。これは、近年のスマートデバイスやクラウドサービスといった新技術を積極的に利活用する攻めの体制が高まり、増大するセキュリティリスクに対応するためのルール整備を行う企業が増加しているのだという。