1. HOME
  2. ブログ
  3. 「企業における情報セキュリティ実態調査2021」を実施 ~ゼロトラストセキュリティ関連のソリューション導入において、日本企業は米豪に後れ~

「企業における情報セキュリティ実態調査2021」を実施
~ゼロトラストセキュリティ関連のソリューション導入において、日本企業は米豪に後れ~

NRIセキュアテクノロジーズ株式会社は、2021年10月から11月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,653社を対象に、「情報セキュリティ実態調査」を実施し、回答を集計・分析した結果を、「NRI Secure Insight 2021」として発表した。この調査は、2002年度から毎年実施しており、今回で19回目。

■3か国ともに7~8割の企業が、新型コロナウイルスが落ち着いた後もテレワークを継続すると回答
テレワークを実施していると回答した企業の割合は、日本では78.7%、米国では48.3%、豪州では44.7%でした。これらの企業に対して、今後の構想や見通しを尋ねたところ、「COVID-19が落ち着いた後も、原則テレワークを続ける予定」または「COVID-19が落ち着いた後は、テレワークとオフィス出社を組み合わせる予定」と回答した割合を合わせると、日本で70.1%、米国で78.5%、豪州で77.0%にのぼりました(図1)。いずれの国においても、テレワークとオフィス出社を組み合わせるハイブリッド型の働き方を想定した割合が最も多く、コロナ禍収束以降もテレワークを柔軟に活用する傾向が続くとみられます。

図1:テレワーク環境における今後の構想

■ゼロトラストセキュリティを実現するソリューションの導入で、日本は米豪に後れ
安全なテレワーク環境を実現するためには、クラウドサービスや社外で利用される業務用端末に関して、十分なセキュリティ対策を行うことがとりわけ重要であり、ゼロトラスト[i]の考え方にもとづいたセキュリティソリューションの導入が有効です。
今回は、特にCASB[ii]やEDR[iii]等の導入状況について調査を行いました。CASBを「導入済み・利用している」「検証している(していた)」と答えた企業は、米国で52.6%、豪州で45.2%であったのに対して、日本では12.6%にとどまりました。EDRについても、米豪では導入・検証を行っている割合が半数を超えましたが、日本では26.2%であり米豪に後れを取っています(図2)。しかし、前回(2020年7月~9月実施)の調査結果では、EDRの導入・検証を行っている日本企業の割合が14.2%だったことと比較すると、EDRの導入は日本でも着々と推進されていることが分かります。

図2:ゼロトラストセキュリティソリューションの導入状況 

■日本企業の9割が、セキュリティ人材の不足を感じている(米豪は1割程度)
情報セキュリティの管理や社内システムのセキュリティ対策に従事する人材の充足状況について尋ねたところ、「どちらかといえば不足している」と「不足している」の合計が、日本企業では90.4%に達しました。対して、これらの選択肢を選んだ企業の合計が、米国では12.9%、豪州で11.6%にとどまっています。(図3)。

「人材が過剰な状態」「充足している」「どちらかといえば充足している」と回答した企業にその理由を複数回答で尋ねたところ、米豪では「セキュリティ業務がシステム等により自動化・省力化されているため(米:35.8%、豪:35.3%)」が最多であったのに対し、日本ではそれを理由に挙げる割合は14.7%と低く、「セキュリティ業務が標準化されており、役割分担が明確化されているため(33.9%)」が最も多い結果となりました(図4)。

上記の回答から、人材の充足・不足は、必ずしも人数の多寡を意味しているわけではなく、人的リソースに依存しない業務の仕組みが整備されているかどうかも一因であると考えられます。

図3:セキュリティ人材の充足状況 
図4:セキュリティ人材が充足していると考える理由(複数回答)

以上の結果を踏まえると、今後もテレワークを継続する日本企業が多く存在する中で、テレワーク環境のセキュリティを確保し自社の情報システムをサイバー攻撃から守るためには、人手だけに頼るのではなく、ゼロトラストセキュリティソリューション等の導入や、セキュリティ業務の自動化・効率化による、DX(デジタルトランスフォーメーション)を一層推進していくことが有効であると考えます。

調査結果の詳細や、他の設問の結果をまとめた「NRI Secure Insight 2021」は、次のWebサイトから入手いただけます。
https://www.nri-secure.co.jp/download/insight2021-report

[i] ゼロトラスト:
社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずに検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方です。
[ii] CASB:
Cloud Access Security Brokerの略。従業員によるクラウドサービスの利用を可視化・制御するソリューションのことです。
[iii] EDR:
Endpoint Detection and Responseの略。主にエンドポイント(端末)におけるインシデント(事故・事案)発生後の対応を、明確化・迅速化する機能を持つセキュリティ対策製品のことです。遠隔での端末調査やネットワーク隔離等に対応しています。

JAPANSecuritySummit Updateでは、最新のサイバーセキュリティの情報をメールマガジンで案内をしております。
是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!