【情シスに聞いた!大企業のセキュリティ実態】最も多かった対策は「ネットワークセキュリティ」で74% 情シス5人に1人が「自社セキュリティは不十分」と回答
調査概要
調査概要:大企業情シスのセキュリティ対策に関する実態調査
調査方法:IDEATECHが提供するリサーチPR「リサピー」の企画によるインターネット調査
調査期間:2022年6月10日〜同年6月17日
有効回答:大企業(従業員数1,000名以上)の情シス100名
※構成比は小数点以下第2位を四捨五入しているため、合計しても必ずしも100とはなりません。
自社で取り組むセキュリティ対策、「ネットワークセキュリティ対策」が74.0%で最多
「Q1.お勤め先では、どのようなセキュリティ対策を行っていますか。(複数回答)」(n=100)と質問したところ、「ネットワークセキュリティ対策」が74.0%、「セキュリティ管理体制の構築」が72.0%、「セキュリティに関する規定の策定」が71.0%という回答となりました。
- ネットワークセキュリティ対策:74.0%
- セキュリティ管理体制の構築:72.0%
- セキュリティに関する規定の策定:71.0%
- 従業員へのセキュリティ教育:71.0%
- 入退館管理:70.0%
- 業務PC管理:70.0%
- 暗号化対策:67.0%
- セキュリティに関する情報収集:57.0%
- セキュリティホットラインの整備:44.0%
- その他:1.0% ー41歳:アカウントの棚卸
- わからない/答えられない:9.0%
他にも「電子機器の持ち込み、持ち出し不可」や「作業部屋の権限設定、MFA認証」などの対策も
Q1で「わからない/答えられない」以外を回答した方に、「Q2.Q1で回答した以外に、お勤め先で行っているセキュリティ対策があれば、自由に教えてください。(自由回答)」(n=91)と質問したところ、「電子機器の持ち込み、持ち出し不可」や「作業部屋の権限設定、MFA認証」など57の回答を得ることができました。
- 34歳:電子機器の持ち込み、持ち出し不可
- 40歳:作業部屋の権限設定、MFA認証
- 45歳:外部SOCの利用
- 62歳:セキュリティツールの導入
- 32歳:社員のシステムのログインに二要素認証を取り入れている。PC接続をFWの認証機能を使用して制御している
- 49歳:脆弱性管理
- 43歳:入室時にセキュリティカードが必要
- 63歳:セキュリティパトロール
大企業に情シスとして勤める5人に1人が、自社はセキュリティ対策は「不十分」と回答
「Q3.あなたは情報システム担当者として、お勤め先のセキュリティ対策が十分だと思いますか。」(n=100)と質問したところ、「やや不十分である」が13.0%、「不十分である」が7.0%という回答となりました。
- 十分である:20.0%
- やや十分である:43.0%
- やや不十分である:13.0%
- 不十分である:7.0%
- わからない/答えられない:17.0%
自社のセキュリティ対策の懸念点として、約4割が「セキュリティが後手に回っている」と実感
Q3で「十分である」以外を回答した方に、「Q4.お勤め先のセキュリティ対策に関する懸念を教えてください。(複数回答)」(n=63)と質問したところ、「セキュリティ対策が後手に回っている」が38.1%、「適切にセキュリティ対策できているか自信がない」が33.3%、「テレワークに伴う対策が十分ではない」が28.6%という回答となりました。
- セキュリティ対策が後手に回っている:38.1%
- 適切にセキュリティ対策できているか自信がない:33.3%
- テレワークに伴う対策が十分ではない:28.6%
- 社員からセキュリティ対策の重要性が理解されていない:27.0%
- セキュリティ対策の予算が少ない:27.0%
- その他:1.6% ー47歳:実際に事故が起こっているから
- わからない/答えられない:11.1%
他にも「利用者任せの部分もある」や「古いバージョンのOSを継続利用していること」などの懸念点も
Q4で「わからない/答えられない」以外を回答した方に、「Q5.Q4で回答した以外に、お勤め先のセキュリティ対策に関する懸念があれば、自由に教えてください。(自由回答)」(n=56)と質問したところ、「利用者任せの部分もある」や「古いバージョンのOSを継続利用していること」など37の回答を得ることができました。
- 62歳:利用者任せの部分もある
- 47歳:古いバージョンのOSを継続利用していること
- 32歳:社員の持ち物や物理的な情報の持ち出し事項について、セキュリティ対策が不十分
- 40歳:最新のインシデント事案への対策
- 42歳:リモートワークにより社員のセキュリティに対する理解が深まってない気がする
- 58歳:セキュリティの部門がない
- 55歳:毎年セキュリティ違反者を出している
情シスの72.0%が、「勤務先の経営者はセキュリティ対策の重要性を理解している」と回答
「Q6.あなたは、お勤め先の経営者がセキュリティ対策の重要性を十分に理解できていると思いますか。」(n=100)と質問したところ、「非常にそう思う」が23.0%、「ややそう思う」が49.0%という回答となりました。
- 非常にそう思う:23.0%
- ややそう思う:49.0%
- あまりそう思わない:11.0%
- 全くそう思わない:3.0%
- わからない/答えられない:14.0%
情シスからセキュリティ対策に関して経営者に提言、「セキュリティの優先順位を見直すべき」や「予算を減らさないでもらいたい」などの声
「Q7.セキュリティ対策に関してお勤め先の経営者に対する提言があれば、自由に教えてください。(自由回答)」(n=100)と質問したところ、「セキュリティの優先順位を見直すべき」や「予算を減らさないでもらいたい」など51の回答を得ることができました。
- 55歳:セキュリティの優先順位を見直すべき
- 49歳:予算を減らさないでもらいたい
- 55歳:可用性とのバランスを配慮してほしい
- 55歳:予算の増加
- 32歳:社員の数が増えれば増えるほど、セキュリティ対策を講じることが困難になる。人が気を付けるのはもちろんですが、セキュリティを万全にするシステムを構築をするべき
- 42歳:リモートワークにより社員の理解度が見えづらい
今後さらに強化したいこと、「ネットワークセキュリティ対策」、「従業員へのセキュリティ教育」、「セキュリティ管理体制の構築」がそれぞれ約3割
「Q8.セキュリティ対策に関して、今後さらに強化していきたいことを教えてください。(複数回答)」(n=100)と質問したところ、「ネットワークセキュリティ対策」が31.0%、「従業員へのセキュリティ教育」が29.0%、「セキュリティ管理体制の構築」が25.0%という回答となりました。
- ネットワークセキュリティ対策:31.0%
- 従業員へのセキュリティ教育:29.0%
- セキュリティ管理体制の構築:25.0%
- セキュリティに関する情報収集:18.0%
- 暗号化対策:16.0%
- 業務PC管理:15.0%
- 入退館管理:14.0%
- セキュリティに関する規定の策定:12.0%
- セキュリティホットラインの整備:9.0%
- その他:1.0%
- 特にない:16.0%
- わからない/答えられない:22.0%
他にも「リモート勤務形態に対する対策が必要」や「ペネトレーションの定期的な実施」などを強化したいとの声も
Q8で「特にない」「わからない/答えられない」以外を回答した方に、「Q9.Q8で回答した以外に、セキュリティ対策に関して強化していきたいことがあれば、自由に教えてください。(自由回答)」(n=62)と質問したところ、「リモート勤務形態に対する対策が必要」や「ペネトレーションの定期的な実施」など32の回答を得ることができました。
- 54歳:リモート勤務形態に対する対策が必要
- 55歳:ペネトレーションの定期的な実施
- 62歳:MDM導入
- 40歳:クラウド化によるセキュリティ強化
- 45歳:BYOD対応
- 35歳:サイバー攻撃対策の事前準備対応。迅速対応自動検知システム開発の強化
- 55歳:可用性とのバランス
まとめ
今回は、大企業(従業員数1,000名以上)の情シス100名を対象に、大企業情シスのセキュリティ対策に関する実態調査を行いました。
まず、自社で取り組むセキュリティ対策として、最も多かったのは「ネットワークセキュリティ対策」が74.0%、次いで「セキュリティ管理体制の構築」が72.0%でした。他にも自由回答では、「電子機器の持ち込み、持ち出し不可」や「作業部屋の権限設定、MFA認証」などの対策も挙がりました。
また、大企業に情シスとして勤める5人に1人が、自社のセキュリティ対策「不十分だ」と実感していることが明らかに。自社のセキュリティ対策の懸念点として、約4割が「セキュリティが後手に回っている」と回答しており、「利用者任せの部分もある」や「古いバージョンのOSを継続利用していること」などに対する懸念点も挙がりました。なお、情シスの72.0%が、「勤務先の経営者はセキュリティ対策の重要性を理解している」と回答しました。そこで、情シスからセキュリティ対策に関して経営者に提言があるか伺うと、「セキュリティの優先順位を見直すべき」や「予算を減らさないでもらいたい」などの声が挙がりました。
最後に、今後さらに強化していきたいセキュリティ対策を伺うと、「ネットワークセキュリティ対策」「従業員へのセキュリティ教育」「セキュリティ管理体制の構築」がそれぞれ約3割の結果となり、他にも「リモート勤務形態に対する対策が必要」や「ペネトレーションの定期的な実施」など、今後のセキュリティ対策についての考えが得られました。
近年、企業の情報セキュリティ対策の必要性が叫ばれている中、大企業のセキュリティ対策の実態が明らかとなりました。大企業の情シスからの意見により、社内のセキュリティ対策の優先順位を上げたいという考えや予算確保に課題が伺えました。また、コロナ禍により、リモート勤務という勤務体制が浸透してきたことにより、リモート勤務のためのセキュリティ対策も必要だと考える情シスも多いことが分かりました。IT技術の進化とともにセキュリティ対策は常に適切なアップデートが必要であり、そのためには専門知識が不可欠と言えるでしょう。大企業だからこそ守るべき情報量は多く、情報漏えいは最大のリスクと考えられ、情報漏えいの対策には時代に合った万全の対策が必要なのではないでしょうか。