News

2025.02.25

【セキュリティガバナンスに関する実態調査】

大手企業が直面する現実、4割が「IT資産の全体把握ができていない」セキュリティ対策上の課題として「セキュリティ人材足りず」と38.5%が回答

〜調査より今後注力すべきセキュリティ対策も明らかに〜

 

株式会社スリーシェイク(本社:東京都新宿区、代表取締役社長:吉田 拓真、以下 スリーシェイク)は、大手企業(従業員1,000名以上)に勤めている、管理職及び主任等の情報システム担当者104名を対象に、大手企業におけるセキュリティガバナンスに関する実態調査を実施しましたので、お知らせいたします。

■「セキュリティガバナンスに関する実態調査」サマリー

  • 01|大手企業の管理職/準管理職の約4割が、「IT資産の全体把握ができていない」と回答
  • 02|セキュリティ対策における課題、「セキュリティ人材の確保・育成が追いつかない」が38.5%で最多
  • 03|今後のセキュリティ対策における重要な取り組み、「セキュリティ人材の育成・確保」(52.9%) 「セキュリティ運用の自動化・効率化」(51.0%)など
本調査のダウンロードはこちら:https://pages.securify.jp/whitepaper_sec017.html

■調査概要

  • 調査名称:大手企業におけるセキュリティガバナンスに関する実態調査
  • 調査方法:IDEATECHが提供するリサーチデータマーケティング「リサピー®︎」の企画によるインターネット調査
  • 調査期間:2024年11月20日〜同年11月21日
  • 有効回答:大手企業(従業員1,000名以上)に勤めている、管理職及び主任等の情報システム担当者104名

※ 合計を100%とするため、一部の数値について端数の切り上げ処理を行っております。そのため、実際の計算値とは若干の差異が生じる場合がございます。

≪利用条件≫
1 情報の出典元として「Securify(セキュリファイ)」の名前を明記してください。
2 ウェブサイトで使用する場合は、出典元として、下記リンクを設置してください。
URL:https://www.securify.jp/

■大手企業の管理職/主任等の約4割が、インターネット公開されているIT資産について「把握できていない」と回答
 「Q1.あなたは、インターネット公開されているIT資産(Webサービス、クラウドリソース、社内システムなど)の全体把握ができていると感じますか。」(n=104)と質問したところ、「ほとんど把握できていない」が12.5%、「一部しか把握できていない」が25.0%という回答となりました。

  • 十分に把握できている:20.2%
  • おおむね把握できている:38.5%
  • 一部しか把握できていない:25.0%
  • ほとんど把握できていない:12.5%
  • わからない/答えられない:3.8%

■IT資産を把握できている理由、「資産管理システムを導入しているから」が72.1%で最多
 Q1で「十分に把握できている」「おおむね把握できている」と回答した方に、「Q2.IT資産を把握できている理由を教えてください。(複数回答)」(n=61)と質問したところ、「資産管理システムを導入しているから」が72.1%、「定期的な棚卸し作業を実施しているから」が55.7%、「IT資産管理の専任担当者がいるから」が54.1%という回答となりました。

  • 資産管理システムを導入しているから:72.1%
  • 定期的な棚卸し作業を実施しているから:55.7%
  • IT資産管理の専任担当者がいるから:54.1%
  • 定期的に台帳上の情報を実態と照らし合わせているから:37.7%
  • 管理方法について、会社のルールが明確に決まっているから:24.6%
  • その他:0.0%
  • わからない/答えられない:1.6%

■IT資産の把握が難しい理由、「グループ会社や子会社も含めた全体の状況が把握できていないから」が約半数にのぼる
 Q1で「一部しか把握できていない」「ほとんど把握できていない」と回答した方に、「Q3.IT資産の把握が難しい理由を教えてください。(複数回答)」(n=39)と質問したところ、「グループ会社や子会社も含めた全体の状況が把握できていないから」が48.7%、「部門ごとに異なるクラウドサービスを使っているから」が30.8%、「各部門が独自に導入したシステムの存在が把握しきれていないから」が28.2%という回答となりました。

  • グループ会社や子会社も含めた全体の状況が把握できていないから:48.7%
  • 部門ごとに異なるクラウドサービスを使っているから:30.8%
  • 各部門が独自に導入したシステムの存在が把握しきれていないから:28.2%
  • 棚卸しに必要な人員や時間が足りないから:23.1%
  • システムの変更が頻繁に行われるから:20.5%
  • 担当者の異動や退職により情報の引継ぎがスムーズに行えないから:20.5%
  • 資産管理の体制が整っていないから:15.4%
  • 経営統合やM&Aにより、管理すべき範囲が広がっているから:5.1%
  • 管理が外部委託されており、その管理が一貫していないから:2.6%
  • その他:7.7%
    ー権限が一部しかない
    ー規模が大きすぎる
    わからない/答えられない:10.3%

■「個人的に導入しているものがあり、把握しきれていない」や「規模が大きすぎる」などの理由も
 Q3で「わからない/答えられない」以外を回答した方に、「Q4.Q3で回答した以外に、IT資産の把握が難しい理由があれば、自由に教えてください。(自由回答)」(n=35)と質問したところ、「個人的に導入しているものがあり、把握しきれていない」や「規模が大きすぎる」など22の回答を得ることができました。

<自由回答・一部抜粋>

  • 個人的に導入しているものがあり、把握しきれていない。
  • 管理に時間がかかる。
  • 規模が大きすぎる。各部門固有があったりなど、把握しきれない。

■懸念しているセキュリティインシデント、「マルウェアやランサムウェアによる情報流出や業務停止」「従業員によるメールの誤送信や情報漏洩」が上位
 「Q5.あなたのお勤め先において、懸念しているセキュリティインシデントを教えてください。(複数回答)」(n=104)と質問したところ、「マルウェアやランサムウェアによる情報流出や業務停止」が61.5%、「従業員によるメールの誤送信や情報漏洩」が59.6%、「不正アクセスによるデータの改ざんや情報漏洩」が55.8%という回答となりました。

  • マルウェアやランサムウェアによる情報流出や業務停止:61.5%
  • 従業員によるメールの誤送信や情報漏洩:59.6%
  • 不正アクセスによるデータの改ざんや情報漏洩:55.8%
  • DoS・DDoS攻撃によるシステムやサービスの停止:50.0%
  • フィッシングメールによる情報詐取や不正送金:47.1%
  • デバイスや記録媒体の紛失・盗難による情報流出:45.2%
  • その他:0.0%
  • 特にない:4.8%
  • わからない/答えられない:6.7%

■「協働者からの情報漏洩」や「アップデートが適用されずに脆弱性が解消されていない」などの懸念も
 Q5で「特にない」「わからない/答えられない」以外を回答した方に、「Q6.Q5で回答した以外に、セキュリティインシデントへの懸念があれば、自由に教えてください。(自由回答)」(n=92)と質問したところ、「協働者からの情報漏洩」や「アップデートが適用されずに脆弱性が解消されていない」など49の回答を得ることができました。

<自由回答・一部抜粋>

  • ヒューマンエラーは有り得る。
  • 協働者からの情報漏洩。
  • 従業員による持出。
  • アップデートが適用されずに脆弱性が解消されていない。
  • システムのロードイメージマスターが暗号化され、復旧に膨大な費用と時間を要するケースについての懸念。
  • 情報を伝達する確実性にやや問題がある。

■セキュリティ対策における課題、「セキュリティ人材の確保・育成が追いつかない」が38.5%で最多
 「Q7.あなたのお勤め先のセキュリティ対策において、現在特に課題となっていることを教えてください。(上位3つまで選択可)」(n=104)と質問したところ、「セキュリティ人材の確保・育成が追いつかない」が38.5%、「新たな脆弱性への迅速な対応が難しい」が37.5%、「クラウドサービスのセキュリティ管理が複雑化している」が37.5%という回答となりました。

  • セキュリティ人材の確保・育成が追いつかない:38.5%
  • 新たな脆弱性への迅速な対応が難しい:37.5%
  • クラウドサービスのセキュリティ管理が複雑化している:37.5%
  • セキュリティ製品の導入・運用コストが増加している:35.6%
  • 運用業務の負荷が年々増加している:24.0%
  • インシデント対応体制が十分でない:13.5%
  • 経営層からの投資理解が得られにくい:11.5%
  • 外部委託先の管理が行き届いていない:10.6%
  • その他:1.0%
    ー教育してもきりがない
  • 特にない:8.7%
  • わからない/答えられない:7.7%

■40.4%が、セキュリティ対策の効率化に向けて、「セキュリティ運用の統合管理」を検討
 「Q8.あなたのお勤め先で、セキュリティ対策の効率化に向けて検討している取り組みがあれば教えてください。(複数回答)」(n=104)と質問したところ、「セキュリティ運用の統合管理」が40.4%、「脆弱性診断の自動化」が35.6%という回答となりました。

  • セキュリティ運用の統合管理:40.4%
  • 脆弱性診断の自動化:35.6%
  • クラウドセキュリティ管理の一元化:32.7%
  • グループ全体での統合運用:32.7%
  • インシデント対応の自動化:30.8%
  • AttackSurfaceManagementの導入:27.9%
  • セキュリティ監視の24時間化:27.9%
  • 資産管理の自動化:25.0%
  • マネージドセキュリティサービス(MSS)の活用:18.3%
  • セキュリティ対策の外部委託:15.4%
  • その他:1.0%
    ー人員増強
  • 特にない:5.8%
  • わからない/答えられない:17.3%

■今後のセキュリティ対策における重要な取り組み、「セキュリティ人材の育成・確保」「セキュリティ運用の自動化・効率化」など
 「Q9.今後のセキュリティ対策において、特に重要だと考える取り組みを教えてください。(複数回答)」(n=104)と質問したところ、「セキュリティ人材の育成・確保」が52.9%、「セキュリティ運用の自動化・効率化」が51.0%、「グループ全体でのガバナンス強化」が50.0%という回答となりました。

  • セキュリティ人材の育成・確保:52.9%
  • セキュリティ運用の自動化・効率化:51.0%
  • グループ全体でのガバナンス強化:50.0%
  • クラウドセキュリティの強化:45.2%
  • インシデント対応体制の整備:37.5%
  • 外部専門家の積極活用:19.2%
  • その他:0.0%
  • 特にない:3.8%
  • わからない/答えられない:6.7%

■「専門部署の設置」や「個人のリテラシー向上」などのポイントも
 Q9で「特にない」「わからない/答えられない」以外を回答した方に、「Q10.Q9で回答した以外に、今後のセキュリティ対策において、特に重要だと考える取り組みがあれば、自由に教えてください。(自由回答)」(n=93)と質問したところ、「専門部署の設置」や「個人のリテラシー向上」など47の回答を得ることができました。

<自由回答・一部抜粋>

  • 若い世代でIT知識を深く知る人材が不足している。
  • 社員教育の継続。
  • 専門部署の設置。
  • 顧客等の個人情報の取得について、本当に必要な項目だけを最小限取得するように社内啓蒙を行う。
  • 個人のリテラシー向上。
  • システムに負荷をかけずに常時監視できるセキュリティシステムが必要。

■まとめ
 今回は、大手企業(従業員1,000名以上)に勤めている、管理職及び主任等の情報システム担当者104名を対象に、大手企業におけるセキュリティガバナンスに関する実態調査を実施しました。

 まず、大手企業の管理職/主任等の約4割が「IT資産を十分に把握できていない」と回答しています。また、IT資産を把握できていない企業の約半数が、「グループ会社や子会社も含めた全体の状況が把握できていない」ことをその理由に挙げています。セキュリティ対策における課題としては、「セキュリティ人材の確保・育成が追いつかない」が38.5%で最も多く、セキュリティ対策の効率化に向けて、40.4%が、「セキュリティ運用の統合管理」を検討していることが分かりました。さらに、今後のセキュリティ対策においては、「セキュリティ人材の育成・確保」(52.9%)や「セキュリティ運用の自動化・効率化」(51.0%)などの取り組みが重要視されています。

 今回の調査では、大手企業におけるIT資産管理の実態とセキュリティ対策の課題が明らかになりました。多くの企業が、グループ全体でのIT資産把握や、セキュリティ人材の確保・育成に課題を抱えている実態が浮き彫りになっています。今後は、人材育成を進めながら、運用の自動化・効率化やグループ全体でのガバナンス強化を推進することで、セキュリティ対策の実効性を高めていく必要があるでしょう。

本調査のダウンロードはこちら:https://pages.securify.jp/whitepaper_sec017.html

■Securify(セキュリファイ) とは
「Securify」 は、IT資産の棚卸しと脆弱性診断を通じたリスク評価のサイクルを可能にし、持続可能なセキュリティ対策を実現するセキュリティツールです。
サービスURL:https://www.securify.jp/

「Securify」は、以下の4つの機能をご用意しています。

  • ASM
  • Webアプリケーション診断
  • SaaS診断
  • WordPress診断

【株式会社スリーシェイク】
スリーシェイクは、ITインフラ領域の技術力に強みをもつテクノロジーカンパニーです。2015年の創業から提供しているSREコンサルティング事業「Sreake(スリーク)」では、AWS/Google Cloud/Kubernetesに精通したプロフェッショナルが技術戦略から設計・開発・運用を一貫してサポートしています。またSRE領域で培ったノウハウをベースに、2020年4月にクラウド型データ連携ツール「Reckoner(レコナー)」を提供開始し、ビジネス分析やマーケティングへのビックデータ活用を簡易に実現可能としました。以後、フリーランスエンジニア特化型人材紹介サービス「Relance(リランス)」やセキュリティサービス「Securify(セキュリファイ)」を提供開始し、DX時代における技術戦略設計からセキュアなアプリケーション開発、データ活用までを一貫提供可能な体制を進めています。

会社名 :株式会社スリーシェイク
代表者 :代表取締役社長 吉田 拓真
所在地 :東京都新宿区大京町22-1 グランファースト新宿御苑
事業内容 :SRE特化型コンサルティング事業「Sreake(スリーク)」運営( https://sreake.com/ )
セキュリティサービス「Securify(セキュリファイ)」開発・運営 ( https://www.securify.jp/ )
クラウド型データ連携ツール「Reckoner(レコナー)」開発・運営 ( https://reckoner.io/ )
フリーランスエンジニア特化型人材紹介サービス「Relance(リランス)」運営 ( https://relance.jp/ )
会社HP :https://3-shake.com/

一覧に戻る

ご依頼・ご相談など
こちらからお問い合わせください

お問い合わせ