EY Japanは2017年11月29日、都内で説明を開き、ユーザー企業によるセキュリティへの取り組みに関する実態調査レポート「EYグローバル情報セキュリティサーベイ2017」の内容について紹介した。全般的に見て、日本はグローバルと比べてセキュリティ対策が遅れている。
レポートでは、セキュリティ対策の予算、セキュリティ対策の遂行体制、攻撃者の認識やIoTセキュリティへの認識、などについて、日本企業の実態とグローバル平均を比べて示した。全般的に見て、日本はグローバルと比べてセキュリティ対策が遅れている。
日本企業の約1割は今後12カ月でセキュリティ予算を減らす
拡大画像表示
予算の不足については、日本では「76%以上の増額が必要」との回答が全体の30%弱を占めており、グローバル(10%未満)と比べて不足額が大きい。日本では、予算を確保しようとしている企業と、予算を確保できていない企業の格差が広がっている。
一方、グローバルでは、「25%以下の増額が必要」との回答が約70%を占め、「50%以下の増額が必要」との回答では、全体の約90%を占める。つまり、グローバルでは、必要な処置はある程度成されていることが分かる。
今後の予算の増減については、グローバルでは40%弱の企業が増減なしで、残りはほとんどの企業が増額すると回答している。一方で日本は、増減なしが40%強を占めるほか、「15%から25%減額する」との回答も約10%ほどある。セキュリティの予算を増やしても売上に貢献しないことが減額の理由と思われる。
日本はインシデント対応の体制が未整備
拡大画像表示
セキュリティ対策の運用面では、「重大なインシデントをSoC(セキュリティオペレーションセンター)で発見した」との回答が、グローバルでは20%弱あるのに対して、日本ではほとんどない。また、「重大なインシデントは発生していない」との回答は、グローバルの40%強に対して日本では約70%と多い。日本はグローバルと比べてSoCがしっかりと機能していない可能性がある。
CSIRTなどによるインシデントレスポンスの整備状況については、「態勢は未整備」との回答が、グローバルでは10%強なのに対して、日本では40%弱と多い。反対に、「第三者、法執行機関を含む態勢が整っており、定期的な訓練も実施している」との回答は、グローバルでは10%弱を占めているのに対して、日本ではほとんどない。
こうした調査結果を受けて同社は、「インシデントは起こるもの、と捉えて備えなければならない」と指摘する。対策にあたっては、ゆっくりと回すPDCAではなく、日々監視して即座に対処するOODA(監視、情勢判断、意思決定、行動)プロセスが重要だという。