セキュリティ対策の投資対効果、4社に3社は把握せず - 予算獲得できない一因か

セキュリティ対策への投資動向と、投資評価の実施動向に一定の相関関係が見られることがわかった。

プライスウォーターハウスクーパースが、企業の経営層を対象に、情報セキュリティに関するオンライン調査を実施したもの。国内企業は330社が調査に参加している。

次年度にセキュリティ投資を増やす企業の割合と投資評価の実施企業の割合（グラフ：PwC）

同レポートによれば、次年度にセキュリティ投資が増加すると回答した国内企業は20％。グローバルの49％と比較すると割合が低い。前年度にセキュリティ投資の効果を測定した企業も少なく、測定実施率は23％。グローバルと比較してかなり低い水準にある。

各国のセキュリティ投資を増やす企業の割合と、投資効果の評価を行っている企業の割合をグラフで表すと、投資効果の評価を行っている企業が多いほど、セキュリティ投資が活発に行われる傾向にある。

同社は、効果を明確にしないと投資の妥当性を説明できず、十分な予算を獲得できない原因になっているのではないかと分析している。

一方、セキュリティインシデントの検知ツールについて、導入状況を国内外で比較したところ、国内外で大きな差は見られなかった。しかしながら、インシデントを検知した経緯をたずねると、サーバやファイアウォールのログにより検知した企業は、グローバルが25％なのに対して国内企業はわずか6％に過ぎない。

「セキュリティイベントの相関ツール（SIEM）」経由で発覚した割合も、グローバルが21％に対し日本企業はわずか3％。情報漏洩対策製品（DLP）についてもグローバルでは17％だが、国内では3％にとどまる。

経緯について「わからない」とする回答が58％にのぼり、海外の21％に比べ、非常に高い割台を示した。ツールを導入しながらも活用しきれていない現状を示しているという。

インシデントが発生した場合の連携体制を見ると、日本企業は情報システム部門の関与が中心で、広報や人事、財務、経営顧問などが関与しているとする企業はいずれも2割に届かなかった。各部門が3割から4割が関与すると回答したグローバルと比較して、システム部門の対応に偏る傾向が強く表れている。

（Security NEXT - 2014/02/07 ）ツイート