日本企業の情報セキュリティ統制に関する意識と対策に関する調査
調査目的
企業がDX推進のために実施すべきクラウドセキュリティ対策の実態と課題を明らかにする。
境界型からゼロトラストなどクラウド活用に適したセキュリティ対策に移行するうえでの課題とコストを把握する。ブラウザ管理を中核とし「Web上の脅威からの攻撃面をブラウザに限定する手法」を用いた場合と、従来システムに対して全方位型で端末運用全体にかかるゼロトラスト型対策を実施した場合のTCOを比較検証した。
調査概要
企業組織のWeb脅威対策に自社のブラウザ保護・管理の検証を推奨
MM総研は、パソコンやスマートフォンなど端末とブラウザの安全対策を見直すことが、今後、企業組織が安全に生成AIやクラウドを使い続ける「かなめ」の対策となると考える。企業組織の従業員200人以上の情報セキュリティ担当者600人にクラウドセキュリティ対策に関する意識と対策状況を調査した。
多くの企業組織はDXを推進するが、技術活用が進むほどそのリスクをマネジメントする重要性も増す。しかし企業の情報セキュリティ担当部門は、その対策と実行に課題を抱えていることが明らかとなった。
さらに、ブラウザ保護・管理手法の比較と、端末を含む総保有コスト(TCO)の試算を実施した。その結果、企業組織はWeb上の脅威対策に「ブラウザ保護を徹底し、その他の攻撃対象領域を限定する手法」により、クラウドセキュリティにおけるガバナンス強化に加え、コストメリットも得ることができるという結果を得た。
【結果要旨】
1.企業組織は、働き方変革を背景にBYODなど多様な端末の利用が広がる。クラウドアプリの利用も進みブラウザ保護や管理を行う企業組織が増えている。
約40%の企業がPCやタブレットのBYODを許可。情報セキュリティ担当は多様な端末環境でセキュリティ統制をおこなう必要に迫られていると考えられる。
グループウェアやSFAの導入率は50%を超え、IaaS利用も40%を超えている結果となった。企業のクラウド活用が本格化していることが改めて浮き彫りとなった。
クラウド活用に伴い、30%以上の企業が、クラウドアプリなど複数のWebアプリケーションの利用を保護するためブラウザの保護に対策を講じている。
ブラウザ保護に最も利用している製品はActive Directoryのグループポリシーとなった。次にChromeブラウザクラウド管理が多く、さらにクラウドベースの管理手法を提供するMicrosoft IntuneやJamfなどのMDMソフトウェアサービスが続いた。
2.75%の企業組織がブラウザ保護や管理を重視するが、対策製品の利用は30%台に留まる。95%の企業組織が「全方位のセキュリティ対策とそのTCO」を課題に挙げる。
企業組織の約75%がWebにアクセスするブラウザの管理や拡張機能の制御を重視すると回答。
しかし現時点で「統合的に対策できている」と答える企業は約30%台に留まる。
企業組織の95%が何かしらの方法で情報セキュリティ対策のTCO改善をする必要があると回答。さらに情報セキュリティ担当者の約15%は、優先順位をつけた対策費用の絞り込みより、総額を抑え込むことを再優先としなければならないという深刻な状況と回答している。
3.企業組織は利用するブラウザを管理することで、進化するWeb上の脅威にクラウドセキュリティ対策を素早く実現することが可能である
企業組織で利用が多いWindows Active Directoryグループポリシー機能と Chromeブラウザクラウド管理の2製品の機能やサービスの違いを整理。
ブラウザの管理ポリシーを実施することができる点は両製品とも違いはない。しかし拡張機能の制御やマルチOS上のポリシー制御一元化、プロファイル管理(BYOD対策)、ブラウザ上のセキュリティログ監視などクラウドセキュリティを実現する機能に違いがある。
Chromeブラウザクラウド管理は、クラウド上から集中管理が可能であり、多角的にブラウザ運用管理のモダン化、TCO削減に寄与するソリューションの一つといえよう。
MM総研は、企業組織が実務的なセキュリティ対策とブラウザ管理を検討する時に、時代に即したチェックポイントの作成が重要と考えている。
セキュリティポリシーを具体的な現場での実装と運用に落とし込み遂行することに企業組織が苦労している。平易なチェックポイント表などを通じて組織全体の意思疎通をおこない、実質的な対策レベル向上を図るべき。
4.Web上の脅威に対してブラウザ中心に攻撃対象領域を限定することで、企業組織はクラウドセキュリティ対策のTCOを最大48%削減できる可能性がある
情報セキュリティ担当者5人への詳細インタビューを通じ、企業組織が、VPN等の境界型防御から従来と端末OSを変えずに、全方位型でゼロトラスト環境に更新する場合の年間当たりコストを試算。
比較対象としてブラウザ対策によるクラウドセキュリティ強化と、ChromeOSを採用することでブラウザを中心に攻撃対象領域を限定した場合に削減できる年間当たりコストを試算しその結果を比較したところ、28%から48%ほどTCOを削減できる可能性があることがわかった。
MM総研がTCO算定対象にChromeOSを選定した理由は、その製品特性からOSと端末のクラウドセキュリティリスクを標準機能で最小化できること、その結果Web上の脅威に対する攻撃を限りなくブラウザに限定できることの2点である。
ChromeOSはコンピュータにインストールする形でアプリを利用できないが、企業組織が利用するアプリがクラウドやSaaSに移行するほど、TCO改善効果も高くなる。全社でなくとも、大半の業務がクラウド化した組織部門があれば、モデル適用を検討してみることを推奨する。
柔軟かつ俊敏性に富んだ情報セキュリティ対策の実現は、企業DXの要諦である「デジタルビジネス・アジリティ」に大きく寄与すると考える。
【調査概要】
本調査は、1.アンケート調査 2.インタビュー調査を組み合わせ、その結果を元にMM総研がケーススタディ設定をおこない分析を行い報告書にまとめている。
調査対象
・日本の企業組織に所属する情報セキュリティ担当者
・従業員、組織人員200人以上を調査対象としている
調査手法
・インターネットによるアンケート調査およびユーザーへの直接インタビュー調査
聴取数
・インターネットアンケート調査 n=600(本調査)n=2054(予備調査)
・インタビュー調査 n=5 (アンケート調査より対象者を抽出)
調査項目
・端末およびネットワークセキュリティにかかる費目別の初期及び運用コスト
・導入するソリューションの種類(必須)/ソリューション名(任意)
・導入の背景
・導入後の課題や今後の方針など
調査時期
・2023年6月
【主なTCO項目と試算方法】
端末費用
・Windows端末は、法人向けノートパソコンの平均出荷単価12万5000円(2023年6月 MMRI調べ)を基本とし、耐用年数4年として年あたりの費用を計算した。
・iPadは、第10世代iPadの直販価格をインターネットで調査し6万8800円と設定した。耐用年数はWindows端末と同様に4年として年あたりの費用を計算した。
・Chromebookは、法人向けChromebookのインターネットでの販売価格を調査し7万5000円と設定した。GIGAスクールでは4万5000円以内が条件となっているが、ビジネスでの用途を想定し画面サイズ、メモリ、ディスクとも用途に資するスペックの製品群の平均価格を算定した。
端末台数配分とVDI・RDP
・Windows端末およびiPadの利用シナリオはWindows700台、iPad300台、合計1000台展開運用を前提とした。
・Chromebook利用シナリオの場合、1,000台分のChromebookを展開する構成とした。
・VDIの場合は物理端末とは別にWindows仮想デスクトップを300台展開運用する構成とし、RDPの場合は接続対象とするWindows端末を300台展開運用する構成で各費用を含めた。
・VDI用仮想デスクトップは、Windows365 Enterprise Standardのインターネット表示価格/月/ユーザーあたりを元に算出した。
・RDP価格は、ChromeOSでも利用可能なRemoteView Standardのインターネット上での表示年額を元に算出した。
キッティング
・Windows、Macともにキッティングに拠出する実コストをヒアリングで取得し、年額あたりに換算した。
MDM
・聴取対象各社が利用するMDM名を聞き取り、それらの月額価格を調査のうえ、平均値を採用した。
・利用各社は主に端末のリモートロック、ワイプ、死活監視管理等を実行している。アプリケーション管理(配備、配布、禁止及び条件による接続遮断)は別途ソフトウェアで一部実行しているケースもみられたが、運用費、運用外注費に含まれるものも多いため、MDM費用には含めていない。
運用管理(内製・外注)
・パソコンの運用における人件費及び外注費を指す。運用管理全般と内部における端末のセキュリティ対策における人件費を一部含んでいる。
・別途セキュリティコンサルティング(ポリシーやプラン策定)やSoC運用など情報セキュリティ専門の運用にかかわる個別対策費は含んでいない。SoCはEDR SoC費用として別途費目を設定している。
ヘルプデスク
・パソコン配備、運用や障害時の対応専門ヘルプデスクの運用費を指す。訪ねた5社中専用ヘルプデスクを実行する企業はすべて外注していたため、その外注費を台当たりに換算して1000台相当の運用費用として算出した。
vUTM(CASB/SASE)
・ファイアウォール、IPS/IDS、アンチウイルス、アンチスパイウェア、アプリケーション制御、URLフィルタリング機能をクラウドサービスとして提供するサービスを想定した。ヒアリング対象で利用されていたvUTMセキュリティオプション(NTTコミュニケーションズ)のインターネット上の月額表示価格を元に年額換算し算出した。
EDR
・Endpoint Detection & Responseの略。パソコンなど端末の状況および通信内容などを監視し、異常、あるいは不審な挙動があれば管理者に通知するソフトウェア。導入している企業の年間当たり費用を聞き取り、1000台換算して算出。
EDR SOC
・Endpoint Detection & Response ソフトウェアを活用したセキュリティオペレーションを実行する監視サービス。EDRの検知情報を分析し、初動対策を中心に実行する専門組織。超大規模企業を除くと専門サービスとして外部委託して運営するケースが多い。本稿でもSOCサービスへの外注費用をコストとして指している。各社年間の運用費用を聞き取り、1000台あたりとして算出。
目次
価格
お問い合わせください
レポート購入のお問い合わせ先
株式会社MM総研
担当:中村
TEL 03-5777-0161(代表) FAX 03-5777-0163
*当社が毎月発行する月刊IT総合情報誌「MM Report」の購読も承ります