情報セキュリティ対策、日米企業で大きな開き

　企業内部からの情報漏洩や海外からのサイバー攻撃など、公的機関や民間企業の情報システムの防衛が大きな課題になってきている。ＭＭ総研（東京都港区、所長･中島　洋）は9月25日、情報システムの防衛対策で先行している米国企業と日本企業の合計600社に対して情報セキュリティ対策の実態を調査し、両国の相違点から見えてくる日本企業の課題をまとめた。

　この調査は、従業員数1,000名以上の日本企業300法人、米国企業300法人のセキュリティ担当者にアンケート回答を求め、情報セキュリティ被害の状況や対策状況を分析した。調査結果によると、情報セキュリティ対策で先行する米国企業では2012年度から2013年度にかけて、ほとんどの主要な手口による被害が減少傾向にあることがわかった。たとえば代表的なサイバー犯罪の一つである「なりすまし」による被害金額は72%減少した。これに対して、日本企業の「なりすまし」による被害金額は同期間で141%増加するなど、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

　さらに、2014年度計画で日本企業の1社あたりのセキュリティ投資額は23億円と、米国企業に比べ約3割少なく、米国の2012年度並みの水準に相当することがわかった。

　米国では外部からの攻撃の対策に成功しつつあり、今後は「内部関係者が係わる被害」に対処するための「出口対策」などが焦点になっている。また、専門家のコンサルティングサービスを活用する企業が多く、日本の約2倍の51%に達する。「リスク診断・評価」に加えて「セキュリティ対策プラン作成」を利用することで各社に適した対策を効果的に行っている企業が多い。重大なセキュリティ被害を回避し、リスクを軽減するためには、専門コンサルタントなどプロフェッショナルサービスを活用することが重要になる。

■情報セキュリティ被害が拡大する日本企業、被害を減少させている米国企業

　2012年度と2013年度における日米両国の企業の情報セキュリティ被害の実態を調査した。被害金額は加重平均により算出した1社あたりの平均額で、当該年度において事件・事故が発生し、被害金額が判明している企業の回答を集計した。

　一方の米国企業では、「なりすましによる被害」が12年度10億2,100万円から13年度2億8,200万円（72%減）、「ウィルス感染による被害」が11億7,100万円から5億2,100万円（56%減）、「標的型攻撃による被害」が6億1,900万円から4億300万円（35%減）となり、主要な手口による被害が減少傾向にあることがわかった。また、「手口はわからない被害」を合わせた平均被害額の合計は、12年度の197億7,900万円から13年度99億6,500万円（50%減）に激減している。米国では、特に外部からの攻撃の対策に成功しつつあり、従業員によるデータ紛失や盗難のような内部関係者が係わるセキュリティ対策が今後の課題になっている。

　他方の日本企業では、「なりすましによる被害」が12年度10億9,900万円から13年度26億4,600万円（141%増）、「ウィルス感染による被害」が11億700万円から23億600万円（108%増）、「標的型攻撃による被害」が12億9,500万円から22億7,100万円（75%増）に増加している。「手口はわからない被害」を合わせた平均被害額の合計は、12年度の106億3,600万円から13年度195億800万円（83%増）に激増。外部からの攻撃の一部を除き、多くの主要手口においてセキュリティ事件・被害金額が拡大傾向にあり、早急に有効な対策を実施する必要がある。

■日本のセキュリティ投資は米国より3割少なく、2年遅れの水準

　過去2年間の日米それぞれの企業の1社あたりの情報セキュリティ対策投資額と今年度計画を調べたところ、日本は米国より相対的に少なく、2年遅れの水準にあることがわかった。日米ともに投資額を毎年増やしてきているものの、2014年度の日本企業の情報セキュリティ投資額は23億6,400万円で、米国企業の32億9,400万円より約3割少なく、米国の2年前の水準に相当する。

　今後セキュリティ対策を強化したいと考えている分野を調査した結果、米国企業が最も重視しているのは、「出口対策」で40.7%、次いで「脆弱性対策」が37.7%となった。依然として被害を軽減できていない「内部関係者が係わる被害」に対処するための「出口対策」や「脆弱性対策」が重視されている。日本企業では、米国側で軽減されつつある被害を未だ抑え込めていない現実があり、「入口対策」が30.3%、「システム監視・ログ分析」が29.3%となった。

■米国ではセキュリティコンサルティング等のプロフェッショナルサービスを効果的に活用

　米国では、専門家のコンサルティングサービスを利用する企業が日本の約2倍の51.0%に達する。コンサルティング利用企業が導入しているサービス内容では、「リスク診断・評価」の79.1%に加えて、「セキュリティ対策プラン作成」が68.6%で各社に適した対策を行っている企業が多い。今後、日本企業でも情報セキュリティに関するコンサルティング等のプロフェッショナルサービスを効果的に活用するニーズが浮上する可能性がある。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＜調査概要＞
1．調査対象　：日本法人ユーザー、米国法人ユーザー
2．回答件数　：日本法人（n=300）、米国法人（n=300）
※従業員数1,000名以上の企業に所属するセキュリティ担当者を対象とした。
※情報セキュリティ対策の状況を把握している担当者が回答。
3．調査方法　：Webアンケート
4. 調査期間　：2014年8月19日～8月25日
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

■注意事項
1.　本プレスリリースは、ＭＭ総研が実施した市場調査の結果と分析から一部または全部を抜粋したものです。
2.　報道機関が引用する場合は、出典を「ＭＭ総研」と明記してください（ＭＭは全角）。数値等は表ではなくグラフ化して掲載してください。
3.　報道機関以外が本プレスリリースの内容を引用・転載する場合は、ＭＭ総研による承諾が必要です。
4.　ＭＭ総研の独自調査結果であり、公的機関の統計や企業の公表数値等と異なることがあります。また、データ・資料は、作成時点におけるものであり、今後予告なしに変更されることがあります。
5.　本データを報道以外の以下用途で無断利用することを固く禁じます。
　－プロモーション（広告・販売促進資料・ホームページ掲載・チラシなど外部に発信する資料・データ）
　－セミナー・講演会
　－その他、営業目的・営利目的での使用
6.　調査の詳細、研究員コメント、データ利活用などについては、担当者までお問い合わせ下さい。

■ＭＭ総研について
株式会社ＭＭ総研は、ICT分野専門の市場調査コンサルティング会社です。日本におけるデジタル産業の健全な発展と市場拡大を支援することを目的として1996年に設立し、四半世紀にわたって経験と実績を重ねてきました。ICT市場の現状と先行きを的確に把握する調査データに加えて、新製品・新サービスを開発するためのコンサルティングサービスも提供しています。