2017/04/19 15:03
情報・通信
鍵管理製品や暗号化製品、トークナイゼーション製品など高度なセキュリティソリューションを提供するThales e-Securityは、米451 Research社と共同発行したデータ脅威に関するレポート「2017 Data Threat Report 日本エディション」を発表しました。
同レポートは、世界主要国における各業界のシニアエクゼクティブ 1,100名(内 日本100名)を対象に実施した調査結果をもとに、日本企業からの回答にフォーカスしてグローバル平均および米国の結果と比較しながらまとめたもので、今回が5期目となります。
今年のレポートでは、日本企業の回答の66%が、コンプライアンス要件への対応を、ITセキュリティに投資する最大の理由として位置付けています(前年同データ30%)。また半数以上の54%(前年同データ23%)がITセキュリティ全般への投資を増やすと回答しています。
◆ 日本企業は、コンプライアンス要件への適用にフォーカスしているが、
それが”データ漏洩防止”に効果的と考える回答は他国と比べて低い傾向に
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
改正個人情報保護法への施行が5月に迫っていることからも、日本企業はITセキュリティへの投資において「コンプライアンス要件への適用」を最優先にしています。1年間の猶予があるという理由で昨年はコンプライアンスを最優先とした回答者が30%にとどまったと言えるかも知れません。
今年のIT投資に対する理由において第2位となったのは「ビジネスパートナーからの要件」(50%)で、第3位となったのは「企業ブランドや企業イメージの保護」(47%)でした。
日本でも今年は「コンプライアンス要件」が重視されているという結果にもかかわらず、コンプライアンス要件を満たすことがデータ漏洩防止において「極めて効果的」と考えている回答者はわずか44%であり、この値は、ドイツ(58%)、アメリカ(64%)、オーストラリア、メキシコ(68%)、ブラジル(71%)など、他の地域と比べて低く、とりわけ関心を引く結果となっています。
◆ 新技術に対する懸念と予算の配分率が問題をより複雑に
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
日本企業の回答は、コンプライアンス要件への適用によるデータ漏洩防止の有効性に対して、特有の懐疑的な姿勢があります。コンプライアンス要件に対応していればデータ漏洩を防止できると過信しないのは良い傾向ではあるものの、今年の調査レポートでは対策が不十分であることを示す問題点も判明しています。79%の回答者が機密データを新規にマイグレートした環境で使用するとしていますが、半数以上(56%)の回答者がこうした環境の中で機密データが危険な状態で使用されていると考えています。これは、最新の技術環境であると言える、モバイル(45%)、SaaS(39%)、IaaS(37%)環境において特に顕著です。
効果的なセキュリティ対策と予算配分におけるミスマッチも懸念されます。保存データのセキュリティ対策は、回答者の63%がデータ保護において最も効果的と評価しているにも関わらず、これはITセキュリティに対する予算の中では最下位に位置しており、保存データのセキュリティ対策に対する予算を増加する予定があるとした回答者はわずか27%です。
一方、ネットワークセキュリティに対する予算は、最も効果的な対策とは位置付けられていないにも関わらず、42%の回答者がこのネットワークセキュリティの予算を増加させるとしています。
これらの数字が示す意味を考えると、企業は過去に効果があったソリューションに継続投資するも、今日のデータ漏洩に対しては適切に対策できない可能性があるのは明らかです。
◆ 451 Research 情報セキュリティ プリンシパルアナリスト
Garrett Bekker (ガレット・ベッカー)氏 コメント
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「改正個人情報保護法を前提として、今日の脅威は個人情報などが記録されるデータに影響を与えることから相対的にその認識が高まりました。個人情報保護法のようなプライバシーの規制は要件が多くなり得ますが、特にクラウド等の新しい技術環境に機密データを展開する場合、企業はコンプライアンス要件を満たすだけでなく、暗号化やBYOK(Bring Your Own Key)をさらに利用するべきです。」
◆安心できる点:脆弱性の低下と暗号化への理解
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回のレポートを見ると、改善すべき点はもちろんありますが明るい傾向も見受けられます。日本企業は脆弱性が軽減されたと感じており、データ漏洩については他国よりも減少しています。脅威に対して、機密データが「極めて脆弱である」とした回答したのは、全世界が30%であるのに対し、日本は23%。昨年データ漏洩を経験したという回答は、全世界では回答者の26%であるのに対し、日本は15%のみです。
また日本企業の回答者は暗号化のメリットも良く理解しています。回答者の49%が、データの保護とコンプライアンス要件に対応するにあたり、暗号化を第一の選択肢としています。また、同数の回答者が自社での鍵を用いたクラウド環境でのデータ暗号化が可能であれば、クラウド環境への展開を増やすとしています。同様に、暗号化技術を利用可能であれば、回答者のうち39%がIoTの展開を、45%がコンテナの展開を増やすとしています。
◆ Thales e-Security戦略部門担当Vice President
Peter Galvin (ピーター・ガルヴァン) コメント
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「2017 Data Threat Report 日本エディション」の調査結果は今後の進むべき方向を示した内容となりました。例えば、回答者はコンプライアンス要件への対応において期限に間に合うように予算を増加させましたが、それはデータ保護に対しても現実的な解と言えます。それでも現状に満足していてはいけません。新しい環境に対するデータ保護については、あまりに多くの企業が遅れをとっています。我々が昨今の脅威の状況を見る限り、課題があることは明らかであり継続的にデータを安全に保つことは最大の優先事項です。これは暗号化や先進的な鍵管理、トークナイゼーション、また多くの他の効果的な選択肢によって達成することができるものです。」
日本企業は既存のレガシーなデータソースを保護すると同時に、以下のような新しい技術の活用を積極的に検討するべきと強く認識しています。
・ サービスベースでのプラットフォームやその適用などを自動化できるセキュリティツールセットを導入すること
・ クラウド、SaaS、ビッグデータ、IoT、コンテナ環境にある機密データの場所を把握し秘匿化すること
・ すべての新しい技術に対して、暗号化とBYOK(Bring Your Own Key )技術を利用すること
…………………………………………………
◆ 調査方法について
「2017 Data Threat Report 日本エディション」の基になる調査は、Thales e-Securityの委託により米451 Research社が、2016年10月 ~11月、米国、イギリス、オーストラリア、ブラジル、ドイツ、日本の自動車、教育、エネルギー、エンジニアリング、ヘルスケア、IT関連、流通、テレコミュニケーションなど様々な業界において売上が5000万ドルから20億円ドル規模の企業、並びに政府機関におけるITセキュリティ購買に影響力のあるシニアITエグゼクティブ、およびITセキュリティ担当者1,100名(日本100名以上)へのWeb及び電話により実施しました。
また、各国のThales e-Securityのパートナーが調査を支援しており、日本ではキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長 神森 晶久)がスポンサーとなっています。
…………………………………………………
◆関連資料
◇「2017 Data Threat Report 日本エディション」を
以下からダウンロードしていただけます。
dtr.thalesesecurity.co.jp
◇Thales e-Securityブログ
最近の鍵管理の傾向について、業界への洞察と見解をお読みいただけます
https://blog.thalesesecurity.com
…………………………………………………
同レポートは、世界主要国における各業界のシニアエクゼクティブ 1,100名(内 日本100名)を対象に実施した調査結果をもとに、日本企業からの回答にフォーカスしてグローバル平均および米国の結果と比較しながらまとめたもので、今回が5期目となります。
今年のレポートでは、日本企業の回答の66%が、コンプライアンス要件への対応を、ITセキュリティに投資する最大の理由として位置付けています(前年同データ30%)。また半数以上の54%(前年同データ23%)がITセキュリティ全般への投資を増やすと回答しています。
◆ 日本企業は、コンプライアンス要件への適用にフォーカスしているが、
それが”データ漏洩防止”に効果的と考える回答は他国と比べて低い傾向に
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
改正個人情報保護法への施行が5月に迫っていることからも、日本企業はITセキュリティへの投資において「コンプライアンス要件への適用」を最優先にしています。1年間の猶予があるという理由で昨年はコンプライアンスを最優先とした回答者が30%にとどまったと言えるかも知れません。
今年のIT投資に対する理由において第2位となったのは「ビジネスパートナーからの要件」(50%)で、第3位となったのは「企業ブランドや企業イメージの保護」(47%)でした。
日本でも今年は「コンプライアンス要件」が重視されているという結果にもかかわらず、コンプライアンス要件を満たすことがデータ漏洩防止において「極めて効果的」と考えている回答者はわずか44%であり、この値は、ドイツ(58%)、アメリカ(64%)、オーストラリア、メキシコ(68%)、ブラジル(71%)など、他の地域と比べて低く、とりわけ関心を引く結果となっています。
◆ 新技術に対する懸念と予算の配分率が問題をより複雑に
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
日本企業の回答は、コンプライアンス要件への適用によるデータ漏洩防止の有効性に対して、特有の懐疑的な姿勢があります。コンプライアンス要件に対応していればデータ漏洩を防止できると過信しないのは良い傾向ではあるものの、今年の調査レポートでは対策が不十分であることを示す問題点も判明しています。79%の回答者が機密データを新規にマイグレートした環境で使用するとしていますが、半数以上(56%)の回答者がこうした環境の中で機密データが危険な状態で使用されていると考えています。これは、最新の技術環境であると言える、モバイル(45%)、SaaS(39%)、IaaS(37%)環境において特に顕著です。
効果的なセキュリティ対策と予算配分におけるミスマッチも懸念されます。保存データのセキュリティ対策は、回答者の63%がデータ保護において最も効果的と評価しているにも関わらず、これはITセキュリティに対する予算の中では最下位に位置しており、保存データのセキュリティ対策に対する予算を増加する予定があるとした回答者はわずか27%です。
一方、ネットワークセキュリティに対する予算は、最も効果的な対策とは位置付けられていないにも関わらず、42%の回答者がこのネットワークセキュリティの予算を増加させるとしています。
これらの数字が示す意味を考えると、企業は過去に効果があったソリューションに継続投資するも、今日のデータ漏洩に対しては適切に対策できない可能性があるのは明らかです。
◆ 451 Research 情報セキュリティ プリンシパルアナリスト
Garrett Bekker (ガレット・ベッカー)氏 コメント
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「改正個人情報保護法を前提として、今日の脅威は個人情報などが記録されるデータに影響を与えることから相対的にその認識が高まりました。個人情報保護法のようなプライバシーの規制は要件が多くなり得ますが、特にクラウド等の新しい技術環境に機密データを展開する場合、企業はコンプライアンス要件を満たすだけでなく、暗号化やBYOK(Bring Your Own Key)をさらに利用するべきです。」
◆安心できる点:脆弱性の低下と暗号化への理解
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
今回のレポートを見ると、改善すべき点はもちろんありますが明るい傾向も見受けられます。日本企業は脆弱性が軽減されたと感じており、データ漏洩については他国よりも減少しています。脅威に対して、機密データが「極めて脆弱である」とした回答したのは、全世界が30%であるのに対し、日本は23%。昨年データ漏洩を経験したという回答は、全世界では回答者の26%であるのに対し、日本は15%のみです。
また日本企業の回答者は暗号化のメリットも良く理解しています。回答者の49%が、データの保護とコンプライアンス要件に対応するにあたり、暗号化を第一の選択肢としています。また、同数の回答者が自社での鍵を用いたクラウド環境でのデータ暗号化が可能であれば、クラウド環境への展開を増やすとしています。同様に、暗号化技術を利用可能であれば、回答者のうち39%がIoTの展開を、45%がコンテナの展開を増やすとしています。
◆ Thales e-Security戦略部門担当Vice President
Peter Galvin (ピーター・ガルヴァン) コメント
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「2017 Data Threat Report 日本エディション」の調査結果は今後の進むべき方向を示した内容となりました。例えば、回答者はコンプライアンス要件への対応において期限に間に合うように予算を増加させましたが、それはデータ保護に対しても現実的な解と言えます。それでも現状に満足していてはいけません。新しい環境に対するデータ保護については、あまりに多くの企業が遅れをとっています。我々が昨今の脅威の状況を見る限り、課題があることは明らかであり継続的にデータを安全に保つことは最大の優先事項です。これは暗号化や先進的な鍵管理、トークナイゼーション、また多くの他の効果的な選択肢によって達成することができるものです。」
日本企業は既存のレガシーなデータソースを保護すると同時に、以下のような新しい技術の活用を積極的に検討するべきと強く認識しています。
・ サービスベースでのプラットフォームやその適用などを自動化できるセキュリティツールセットを導入すること
・ クラウド、SaaS、ビッグデータ、IoT、コンテナ環境にある機密データの場所を把握し秘匿化すること
・ すべての新しい技術に対して、暗号化とBYOK(Bring Your Own Key )技術を利用すること
…………………………………………………
◆ 調査方法について
「2017 Data Threat Report 日本エディション」の基になる調査は、Thales e-Securityの委託により米451 Research社が、2016年10月 ~11月、米国、イギリス、オーストラリア、ブラジル、ドイツ、日本の自動車、教育、エネルギー、エンジニアリング、ヘルスケア、IT関連、流通、テレコミュニケーションなど様々な業界において売上が5000万ドルから20億円ドル規模の企業、並びに政府機関におけるITセキュリティ購買に影響力のあるシニアITエグゼクティブ、およびITセキュリティ担当者1,100名(日本100名以上)へのWeb及び電話により実施しました。
また、各国のThales e-Securityのパートナーが調査を支援しており、日本ではキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長 神森 晶久)がスポンサーとなっています。
…………………………………………………
◆関連資料
◇「2017 Data Threat Report 日本エディション」を
以下からダウンロードしていただけます。
dtr.thalesesecurity.co.jp
◇Thales e-Securityブログ
最近の鍵管理の傾向について、業界への洞察と見解をお読みいただけます
https://blog.thalesesecurity.com
…………………………………………………