NRIセキュアテクノロジーズ（NRIセキュア）は、日本・アメリカ・オーストラリアにおいて「企業における情報セキュリティ実態調査 2023」を実施し、計2,783社から回答を得ました。今回の調査は、各企業における情報セキュリティに対する取り組み状況を明らかにするために実施し、日本は1,657社、アメリカは540社、オーストラリアは586社からの回答を得ています。この調査は、企業の情報システム・情報セキュリティ担当者を対象にしたもので、2002年の開始以来、今回で21回目となります。
調査結果を踏まえ、「セキュリティマネジメント」「サプライチェーン」「セキュリティ対策」「生成AI」などに関する企業における情報セキュリティの実態について、NRIセキュアの松本 彩花に聞きました。

サイバー攻撃やテレワーク浸透などを背景に、EDRの導入が進展

調査におけるトピックスの1つめは、「セキュリティマネジメント」です。
新しいソリューションの導入状況について、日本ではEDR^※1やNDR^※2、XDR^※3の導入あるいはその検討が進んでいることがわかりました。導入済み、検証中または検討中と回答した企業で一番多かったのはEDRで、導入済みが27.8％と昨年度よりも8.9ポイントアップ、検証中または検討中を含めると62.1％となりました。その理由は、エモテット（Emotet：メールで拡散するマルウェアの一種）の流行、ランサムウェアによる攻撃の増加、またはテレワークを前提としたセキュリティ対策の構築が進んでいることなどが考えられます。

EDRの導入が進むにつれて、EDRの対象が多い企業では、運用負荷の増大という新たな課題を抱え、その対応のためにXDRに注目が集まりました。社内ネットワークの膨大な通信に対して、監視や異常検知に対応するNDRは、導入、検証中、検討中が53％と高い結果となり、これは近年増加傾向にあるVPNやリモートデスクトップ経由の侵入などへの対応が一因です。

一方、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）の設置状況を見ると、アメリカやオーストラリアでは9割以上であるのに対し、日本は約4割にとどまっています。CISOにはセキュリティに関する知識技術だけでなく、戦略、会計などのスキルに加え、リーダーシップや意思決定力など多様な資質と能力が求められます。日本では、企業内で適任人材を見つけるのは難しいことから、一つでも多くの適性がある人材をCISOに指名し、適性の不十分な領域は他の人が補うCISOチームを立ち上げ、時間をかけて必要な適性を身に付ける、強化するといった選択肢も考えられます。

• ※1　
  Endpoint Detection and Response：PCやサーバーといったエンドポイント（端末）におけるインシデント発生後の対応を、明確化・迅速化する機能をもつセキュリティ対策製品。
• ※2　
  Network Detection and Response：組織内のネットワーク上での通信内容を監視し、平時と異なる疑わしい通信を異常として検知することで、既知および未知の脅威に対してリアルタイムで対応するソリューション。
• ※3　
  Extended Detection and Response：エンドポイント、ネットワーク、クラウドなどから適切なデータを取得し、それらすべてのデータの分析を集中管理して行うソリューション。

リスクを感じながらも手が回らない、サプライチェーン統制

調査におけるトピックスの2つめは、「サプライチェーン」です。
日本では、経済安全保障推進法に関連して、サイバーを含むセキュリティの強化を、強く意識している、意識していると回答した割合は全体の39.6％。具体的に挙げた対策のトップは、「委託先／取引先の審査プロセス」でした。

サプライチェーンの統制状況については、グループ会社の統制状況に比べ委託先に対する対策が進んでいませんでした。その理由としては、委託先管理の対象数の多さや複雑さ、または委託先が別法人であることから、委託元として状況を把握した後の改善活動の促進や関与が難しいなどがあげられます。企業規模に関わらずセキュリティ対応リソースが自社向けで手一杯であり、3～4割程度の企業がサプライチェーンの全体像を把握できていない状況です。
現在のように、DXを前提に委託先とITのつながりが常にあり、それが複雑になっている状況では、委託先のセキュリティ対策状況を効率的に統制するためにVRM^※4などの導入が求められます。

• ※4　
  Vendor Risk Management：委託先や取引先の製品・サービスが、自社の規制・財務・オペレーションの面で負の影響を発生させないようにするためのリスク管理プロセス。

日本でも注目が高まるDMARC対応

調査におけるトピックスの3つめは、「セキュリティ対策」です。
セキュリティ対策として、日本では、2023年に改定された政府のセキュリティ統一基準で、偽装メール対策としてDMARCの実施が明記されました。このことを理由に、DMARCへの注目が高まり、今後、その導入が進むと予想されます。DMARCとは、メールに表示された送信元が、ヘッダーfromドメインから正規に送信されたメールかを認証し、自社ドメインを偽装したメールから受信者を保護するための送信ドメイン認証技術です。

とはいえ、日本でのDMARC対応は遅れており、アメリカでは81.8％、オーストラリアは89.4％の企業がDMARCを導入・実施済みであるのに対して日本ではわずか13％でした。アメリカ、オーストラリアで実施率が高いのは、国家機関でDMARC実施を義務づけられるなど、国主導でDMARC実施を推奨しているためと思われます。DMARC対応の成熟には時間がかかるため、早期着手と中長期的な推進が望まれます。

生成AI利用に慎重な日本企業

調査におけるトピックスの4つめは、「生成AI」です。
生成AIについては、ルールの整備の有無に関わらず導入済みと回答した割合が日本で18％であるのに対し、アメリカでは73.5％、オーストラリアでは66.2％という結果になりました。また、「ルールを整備していないが導入済み」と回答した割合が、アメリカで32.4%、オーストラリアで40.3%ありました。

日本の場合、秘密情報を入力してはいけないというルールを定めている企業の割合が、対策項目としては唯一、アメリカとオーストラリアを上回り59.2％でした。この結果からは、日本企業の生成AIに対する慎重な姿勢がうかがえます。
アメリカやオーストラリアでは、秘密情報を入力した際に検知防止する仕組みを導入したり、定期的に社員が利用しているAIサービスを監視・分析したりと、システム的な統制が進んでいることも特徴的です。

アジャイルの発想で、新技術を試しながら前進

以上の4つのカテゴリーすべてを通して、長年続くセキュリティ人材不足の影響が色濃く見られました。
人材を一気に増やすことが困難な中、新しい技術が次々に出てくる時代に求められるのは、ネガティブリスクだけでなくポジティブリスクを捉えることと言えます。ここで言うリスクとは発生が不確実な事象や状態を意味し、インシデントなどのネガティブリスクに対して、ポジティブリスクは生産性向上や従業員の成長など、不確実性がプラスに働くリスクのことを指します。現在の日本は、ネガティブリスクを気にするあまり、成長の機会を喪失している企業が少なくないと思われます。

生成AI時代に望まれるのは、ポジティブリスクに重きを置く姿勢で新技術を試しながら前進することです。アジャイルの発想で小さな目標を立て、少しずつ試しながら経験や自信を養う、つまり適度にリスクを取りながら新技術を試していくといった姿勢を持てば、結果として組織における経験値が増加し、ビジネスでも有効活用できるのではないでしょうか。
新技術を試しながら取り入れる企業姿勢が、これからの時代は求められ、生成AI時代の企業リーダーには、新技術を自社の成長機会と捉えて、ネガティブリスクとバランシングするアクションが必要と言えます。

関連記事

【レポート】生成AI時代、企業に求められる「試す勇気」
～企業における情報セキュリティ実態調査2023～

レポートページはこちら