日本企業の生成AI活用率65.3% 「企業における情報セキュリティ実態調査2024」
NRIセキュアテクノロジーズ株式会社(以下NRIセキュア)は、2024年7月から10月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,491社を対象に、情報セキュリティに関する実態調査を実施した。この調査は、2002年度から実施しており、今回で22回目となる。
調査で取り上げたさまざまなテーマのうち、生成AI、ゼロトラストセキュリティ[i]、サイバーレジリエンス、セキュリティ関連予算に関する結果を、一部抜粋して紹介する。
◆日本企業の生成AIの活用率は65.3%
生成AIの活用用途について尋ねたところ、日本では社内の個人利用が最も多く(51.4%)、問い合わせチャットボットなどを含む顧客向けサービスで活用していると答えた割合は6.3%にとどまった(図1)。一方、米・豪では社内向け業務や顧客向けサービスでの活用が多く、日本と比べて活用用途に違いがあることが浮き彫りになった。また、「活用していない」と回答した割合から、何らかの形で活用している企業は、日本では65.3%であったのに対し、米国は99.2%、豪州は100%と、ほとんどの企業で生成AIを活用していることが分かった。
生成AIを活用して顧客向けサービスを提供していると回答した企業に対して、生成AIサービスの提供を検討するにあたり、懸念や課題となることについて尋ねたところ、日本では「入力可能なデータの判断」と「ルールを策定する人材の不足」と回答した企業がそれぞれ45.7%と最も多い結果となった(図2)。米国では「利用コストの予測」(47.6%)、豪州は「ルールを策定する人材の不足」(44.4%)が最も多くを占め、日本ではデータの入出力に対する懸念や課題意識が強いことがうかがえる。
図1:生成AIの活用用途
Q.「生成AI(ChatGPT、コード生成AI、Azure OpenAI Serviceなど)活用の用途について、以下の中からあてはまるものをすべてお選びください。」(複数回答)
図2:生成AIサービスの提供を検討するにあたり懸念や課題となること
Q.「生成AIサービスの提供を検討するにあたり、懸念や課題となることはありますか。以下の中からあてはまるものをすべて選択してください。」(複数回答)
ゼロトラストセキュリティは検討段階から実装要否を決めた段階へ
ゼロトラストセキュリティの実施状況について尋ねたところ、「ゼロトラストを全面的に実装している」または「ゼロトラストを一部実装している」と回答した日本企業の割合は、合計で21.1%となり、2年前の調査と比べると7.8ポイント増加した(図3)。また、「ゼロトラストを検討したが実装しなかった」と回答した割合も9.1%と、同じく4ポイント増加している。これらより、ゼロトラストを実装するかどうかを検討する段階を終えて、実装の有無を決めた企業が増えている傾向が推測できる。
さらに、VPNの使用状況を調査した。その結果、約8割の日本企業が「今後も使用を継続予定」と回答した一方で、6.8%の企業が「使用停止を検討している」と回答し、2.9%は直近一年間または一年以上前に「使用を停止」したと答えた(図4)。「使用停止を検討している」または「使用を停止した」企業に停止の理由を尋ねたところ、「ゼロトラストセキュリティ推進による脱VPN」を選んだ割合が62.2%と最も多くを占めた。サイバー攻撃の標的となりやすいVPNの利用をやめ、ゼロトラストセキュリティによるアクセス制御を強化する動きが広がっていることが考えられる。
図3:日本におけるゼロトラスト実施状況
Q.「ゼロトラストの実施状況について、以下の中から最もよくあてはまるものを1つお選びください。」
図4:日本におけるVPNの使用状況
Q.「あなたの会社では現在VPNを使用していますか?以下の中から最もよくあてはまるものを1つ選択してください。」
サイバーレジリエンスへの注目度は規模が大きい企業ほど高い
近年、「サイバーレジリエンス」が注目を集めている。サイバーレジリエンスとは、サイバー攻撃に対する組織の対応力と回復力を指し、有事の際にもビジネスの継続性を維持して被害の影響を最小限に抑える能力を指す。今回の調査では、サイバーレジリエンスの理解度やその実践状況について尋ねた。「サイバーレジリエンスを理解している」と回答した日本企業の割合は全体では24.7%であったが、そのうち従業員規模が1万人以上の企業では、80.0%を占めた(図5)。規模が大きい企業ほど、アタックサーフェス(攻撃対象領域)が広く、サプライチェーンリスクへの関心が高まることから、サイバーレジリエンスへの注目も高くなっている点が考えられる。
「サイバーレジリエンスを理解し、実践している」と回答した企業に対して、具体的な取り組み内容を尋ねたところ、「訓練、教育の実施」(71.2%)、「技術的対策の強化(検知、対応、復旧)」(61.0%)が上位に挙がった(図6)。訓練や教育は従来多くの企業で実施されてきたため、最も多い回答を得たが、サイバー攻撃の検知、対応、復旧にかかる技術的対策を強化するという選択肢が二番目に多かった背景には、サイバー攻撃から守る対策だけではなく、攻撃の検知と対応および自社で被害が発生した際の復旧に至るまでが、事業活動の継続において重要視されていることが推測される。
図5:サイバーレジリエンスを理解・実践している日本企業の割合
Q.「サイバーレジリエンスについて、以下の中から、最もよくあてはまるものを1つお選びください。」
図6:サイバーレジリエンスの実践に向けた取り組み
Q.「サイバーレジリエンス実践の取り組みについて、以下の中からあてはまるものをすべてお選びください。」(「サイバーレジリエンスを理解し、実践している」と回答した日本企業のみ(n=59)、複数回答)
IT関連予算に占めるセキュリティ関連予算の割合が増加
IT関連予算のうちセキュリティ関連予算が占める割合についても尋ねた。その結果、2023年度の調査では10%以上を占めると回答した日本企業は全体の22.3%だったのに対して、2024年度の調査では29.8%と7.5ポイント増加した(図7)。背景には、多発するランサムウェア攻撃への対策などで、セキュリティ施策に投資する動きが拡大していることが影響していると考えられる。
図7:IT関連予算に占めるセキュリティ関連予算の割合
Q.「IT関連予算に対する情報セキュリティ関連予算の割合は、どの程度を見込んでいますか。以下の中から、最もよくあてはまるものを1つお選びください。」
今回の調査では、ゼロトラストセキュリティの実装要否を決めた企業が増えていることに加えて、規模の大きい企業ほどサイバーレジリエンスへの注目度が高いことが明らかになった。背景には、企業の関心がサイバー攻撃からの防御にとどまらず、攻撃を受けた際の復旧までを視野に入れた、組織としての対応力を志向してきていることがうかがえる。昨今のサプライチェーン統制の広がりにより、セキュリティ対策の強化が企業規模を問わず求められるようになる中、サイバーレジリエンスについても、今後理解や取り組みが進んでいくとNRIセキュアでは考えている。また、DX推進と生成AIの活用に伴う新たなセキュリティリスクが登場し、社会的に注目を集めるセキュリティインシデントも増加していることを踏まえると、IT関連予算の中でセキュリティ関連予算が占める割合は、今後も増加する可能性が高いと予測している。
「企業における情報セキュリティ実態調査2024」の詳細なレポートは、次のWebサイトから入手できる。
https://www.nri-secure.co.jp/download/insight2024-report
