情報セキュリティ対策、日米企業で大きな開き

―大企業600社調査　被害額減少する米国、拡大する日本―

■ なりすまし、ウィルス感染、標的型攻撃など情報セキュリティにかかわる被害額は2012年度から
　2013年度にかけて米国企業が50%減少しているのに対し、日本企業は83%増加
■ 2014年度の企業1社あたりの情報セキュリティ投資額（計画値）は日本23億円、米国は32億円
■ 専門コンサルタントなどプロフェッショナルサービス活用が米国企業のセキュリティ対策成功のポイント




企業内部からの情報漏洩や海外からのサイバー攻撃など、公的機関や民間企業の情報システムの防衛が大きな課題になってきている。ＭＭ総研（東京都港区、所長・中島　洋）は9月25日、情報システムの防衛対策で先行している米国企業と日本企業の合計600社に対して情報セキュリティ対策の実態を調査し、両国の相違点から見えてくる日本企業の課題をまとめた。

この調査は、従業員数1,000名以上の日本企業300法人、米国企業300法人のセキュリティ担当者にアンケート回答を求め、情報セキュリティ被害の状況や対策状況を分析した。調査結果によると、情報セキュリティ対策で先行する米国企業では2012年度から2013年度にかけて、ほとんどの主要な手口による被害が減少傾向にあることがわかった。たとえば代表的なサイバー犯罪の一つである「なりすまし」による被害金額は72%減少した。これに対して、日本企業の「なりすまし」による被害金額は同期間で141%増加するなど、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

＜図１：[2012年度/2013年度に発生した事件・事故の被害金額]を参照＞

さらに、2014年度計画で日本企業の1社あたりのセキュリティ投資額は23億円と、米国企業に比べ約3割少なく、米国の2012年度並みの水準に相当することがわかった。

米国では外部からの攻撃の対策に成功しつつあり、今後は「内部関係者が係わる被害」に対処するための「出口対策」などが焦点になっている。また、専門家のコンサルティングサービスを活用する企業が多く、日本の約2倍の51%に達する。「リスク診断・評価」に加えて「セキュリティ対策プラン作成」を利用することで各社に適した対策を効果的に行っている企業が多い。重大なセキュリティ被害を回避し、リスクを軽減するためには、専門コンサルタントなどプロフェッショナルサービスを活用することが重要になる。

■情報セキュリティ被害が拡大する日本企業、被害を減少させている米国企業
2012年度と2013年度における日米両国の企業の情報セキュリティ被害の実態を調査した。被害金額は加重平均により算出した1社あたりの平均額で、当該年度において事件・事故が発生し、被害金額が判明している企業の回答を集計した。

一方の米国企業では、「なりすましによる被害」が12年度10億2,100万円から13年度2億8,200万円（72%減）、「ウィルス感染による被害」が11億7,100万円から5億2,100万円（56%減）、「標的型攻撃による被害」が6億1,900万円から4億300万円（35%減）となり、主要な手口による被害が減少傾向にあることがわかった。また、「手口はわからない被害」を合わせた平均被害額の合計は、12年度の197億7,900万円から13年度99億6,500万円（50%減）に激減している。米国では、特に外部からの攻撃の対策に成功しつつあり、従業員によるデータ紛失や盗難のような内部関係者が係わるセキュリティ対策が今後の課題になっている。

他方の日本企業では、「なりすましによる被害」が12年度10億9,900万円から13年度26億4,600万円（141%増）、「ウィルス感染による被害」が11億700万円から23億600万円（108%増）、「標的型攻撃による被害」が12億9,500万円から22億7,100万円（75%増）に増加している。「手口はわからない被害」を合わせた平均被害額の合計は、12年度の106億3,600万円から13年度195億800万円（83%増）に激増。外部からの攻撃の一部を除き、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

■日本のセキュリティ投資は米国より3割少なく、2年遅れの水準
過去2年間の日米それぞれの企業の1社あたりの情報セキュリティ対策投資額と今年度計画を調べたところ、日本は米国より相対的に少なく、2年遅れの水準にあることがわかった。日米ともに投資額を毎年増やしてきているものの、2014年度の日本企業の情報セキュリティ投資額は23億6,400万円で、米国企業の32億9,400万円より約3割少なく、米国の2年前の水準に相当する。

今後セキュリティ対策を強化したいと考えている分野を調査した結果、米国企業が最も重視しているのは、「出口対策」で40.7%、次いで「脆弱性対策」が37.7%となった。依然として被害を軽減できていない「内部関係者が係わる被害」に対処するための「出口対策」や「脆弱性対策」が重視されている。日本企業では、米国側で軽減されつつある被害を未だ抑え込めていない現実があり、「入口対策」が30.3%、「システム監視・ログ分析」が29.3%となった。

＜図２：[2012年度-2014年度セキュリティ対策の年間トータルコスト]　を参照＞
＜図３：[今後セキュリティ対策を強化したいと考えている分野]を参照＞

■ 米国ではセキュリティコンサルティング等のプロフェッショナルサービスを効果的に活用
米国では、専門家のコンサルティングサービスを利用する企業が日本の約2倍の51.0%に達する。コンサルティング利用企業が導入しているサービス内容では、「リスク診断・評価」の79.1%に加えて、「セキュリティ対策プラン作成」が68.6%で各社に適した対策を行っている企業が多い。今後、日本企業でも情報セキュリティに関するコンサルティング等のプロフェッショナルサービスを効果的に活用するニーズが浮上する可能性がある。

＜図４：[セキュリティ対策サービスの利用状況]　＆[セキュリティ対策サービスの利用状況]を参照＞

同調査の概要は下記のURLで公開しています。
リンク

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＜調査概要＞
1．調査対象 ：日本法人ユーザー、米国法人ユーザー
2．回答件数 ：日本法人（n=300）、米国法人（n=300）
※従業員数1,000名以上の企業に所属するセキュリティ担当者を対象とした。
※情報セキュリティ対策の状況を把握している担当者が回答。
3．調査方法 ：Webアンケート
4. 調査期間 ：2014年8月19日～8月25日
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

プレスリリース提供：PRTIMES リンク