日本企業の93%がデータ脅威に対して脆弱であると感じており、39%がデータ漏洩の被害を経験
データセキュリティソリューションを提供する米Vormetric(ボーメトリック)社は、世界の売上規模5,000万ドル~20億ドル規模の企業および政府機関など団体のITエグゼクティブ / 担当者1,114名(内 日本100名以上)を対象にデータセキュリティに関する調査を実施し、日本からの回答にフォーカスしたレポート「Vormetric 2016 Data Threat Report 日本版」を公開しました。
Vormetricは、データセキュリティ調査を毎年行っており、4期目となる今回の調査は、米国の調査・分析会社である451リサーチ社の協力により行われました。Vormetricは、グローバル全体のレポート、および、クラウド、ビッグデータ、IoTに特化したレポートを発行しており、今回発表する日本版レポートは、日本の企業・団体のデータ脅威に対する認識、データ漏洩発生状況、データセキュリティに対する考え方や投資計画をまとめています。
◆ 日本企業・団体の93%がデータ脅威に対して脆弱であると感じている
◆ 39%が過去にデータ漏洩の被害を受けており、不安を感じている
◆ 外部からの脅威として感じているのは、サイバーテロリスト77%、サイバー犯罪76%
◆ データへの脅威や脆弱性を感じているにもかかわらず、
重要データを守るための投資の増加を考えている企業はわずか30%
451リサーチの情報セキュリティのシニア アナリストであり、当レポートの筆者であるGarrett Bekker(ガレット・ベッカー)氏は次のように述べています。
「データ漏洩は世界中どこでも起きていて、日本も例外ではありません。日本のITセキュリティリーダーは、データ漏洩を心配はしていることは確かですが、データセントリックセキュリティの導入には踏み切れていません。理由は、予算不足(49%)、導入が複雑であると認識(44%)しているためですが、ネットワークセキュリティやアンチウィルスなどの従来型の対策にかかる費用が増えているからでもあります。しかし、この従来型の技術は、ひとたび攻撃者がネットワークやシステムに不正に侵入してしまったら、安全を確保できないのです。」
◆ 日本企業にとってポジティブな結果
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇ コンプライアンスに対する現実的な考え
昨今の攻撃は、マルチレベル/マルチフェーズで多様化しており、コンプライアンスの基準に対応しているにも関わらず、攻撃からの防御に失敗する例が相次いでいます。世界中で、深刻なデータ漏洩の被害にあった企業・団体の多くが、PCIや他の標準が定めるコンプライアンス要件を満たしていました。
それにもかかわらず、世界で64%が、データ漏洩を防ぐためにコンプライアンスが「大変効果的」もしくは「きわめて効果的」と回答しています。それに対して日本は、コンプライアンスが効果的と回答したのは、わずか33%でした。
◇クラウドの重要なデータ
クラウド環境内での機密データの利用が低ければ、セキュリティリスクも低くなります。
日本の回答者のクラウド環境内での機密データ利用状況は、SaaSおよびIaaSが37%、PaaSが39%で、世界各国と比べても最も低い割合を示していました。
急成長しているこれらのクラウド環境での、機密データの利用が低いので、リスクを感じる割合も低い結果となっており、機密データの保管場所としてリスクを感じるトップ3で、SaaSと回答したのはわずか17%、IaaSおよびPaaSがそれぞれ11%でした。
◇特権ユーザに対するリスクの認識
データに対する内部不正の脅威の認識については、「特権ユーザ(システム管理者やシステムやネットワークをメンテナンス、管理するIT部門スタッフ)」が49%でトップ、「一般社員」が45%、「役員」が36%でした。これは、「一般社員」がトップの56%で、「特権ユーザ」がわずか36%で3位だった昨年よりも、前向きな変化があったことを意味します。オペレーティングシステムやアプリケーションでは、特権ユーザはシステム上の全てのデータへのアクセス権限を持つ場合多く、そのため内部からの不正アクセスの最大のリスクとなり、さらにアカウントの不正使用を狙う外部攻撃者の最大のターゲットとなります。
◆ 調査で明らかになった日本企業の潜在的な問題
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇データセキュリティツール導入の最大の障壁は「予算」と「煩雑性」
日本企業がデータセキュリティを導入できない理由は、「予算不足」が1位 (49%)、続いて「煩雑性」(44%)、「スタッフ不足」(37%)でした。データセキュリティの課題を解決するための予算が不足しているので、「データが脆弱と感じている」割合が高く(93%)、ITセキュリティ投資を増額する計画があると回答した企業が少なかった(31%)と思われます。
◇機密データの保管場所の把握
機密データの保管場所を「完全に把握している」と回答したのはわずか21%でした。65%は機密データの保管場所に関して「いくらか把握している」と回答していますが、これは日本企業内の機密情報が少なからずリスクにさらされていることを示しています。データセキュリティによる防御は、他の防御を突破された際の最後の砦ですが、機密データを包囲する形で設置されることが必須となりまです。機密データの保管場所を正しく把握していなければ必要な予防策を講じることができません。
◇データ漏洩を抑止できないツールへの投資が増加
日本企業が、今後投資を増やす計画であると回答したセキュリティ分野は、「ネットワーク防御」(29%)や「エンドポイント・モバイル防御」(26%)のためのツールに集中していますが、これらは、相次いでデータ漏洩防止に失敗しています。保存データ(data-at-rest)防御への投資の増加を検討している企業はわずか20%でした。
Vormetric社マーケティング担当副社長Tina Stewart(ティナ・スチュアート)は次のようにコメントしています。
「日本企業のITセキュリティリーダーはデータへのリスクに対して現実的な考え方をしています。しかし、データセキュリティに投資するレベルは低く、機密データの保護に効果が低い時代遅れのITセキュリティテクノロジーに投資しており、企業自体がリスクにさらされているといえます。」
◆ 調査レポートは、以下から無料でダウンロードできます。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇「Vormetric 2016 Data Threat Report 日本版」(日本語)
http://vormetric.com/campaigns/datathreat/2016/index-jp.html
◇「Vormetric 2016 Data Threat Report グローバル版」(英語)
http://www.vormetric.com/campaigns/datathreat/2016/
…………………………………………………………
○ 調査方法について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「Vormetric 2016 Data Threat Report 日本版」の基になる調査は、Vormetric社の委託により米451 Research社が、2015年10月 ・11月、米国、イギリス、オーストラリア、ブラジル、ドイツ、日本の自動車、教育、エネルギー、エンジニアリング、ヘルスケア、IT関連、流通、テレコミュニケーションなどさまざまな業界の売上が5000万ドルから20億円ドル規模の企業、ならびに政府機関におけるITセキュリティ購買に影響力のあるシニアITエグゼクティブ、およびITセキュリティ担当者1,114名(内 日本100名以上)へのWebおよび電話により実施しました。
また、各国のVormetricのパートナーが調査を支援しており、日本では同社の国内一次販売代理店である株式会社アズム(本社:東京都港区、代表取締役 岡田 修門)がスポンサーしています。
○ 451リサーチ社について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
451リサーチ社は優秀な情報テクノロジー調査顧問会社です。技術革新と市場への普及にフォーカスしており、電子社会のリーダーに重要な洞察を発信しています。100人以上いるアナリスト、コンサルタントは調査や顧問サービス、イベントを通じて、北米、ヨーロッパを含む世界中の1000社を超えるクライアントに見識や分析を提供しています。2000年設立、本社ニューヨークの451リサーチ社は451グループの一員です。
…………………………………………………………
データセキュリティソリューションを提供する米Vormetric(ボーメトリック)社は、世界の売上規模5,000万ドル~20億ドル規模の企業および政府機関など団体のITエグゼクティブ / 担当者1,114名(内 日本100名以上)を対象にデータセキュリティに関する調査を実施し、日本からの回答にフォーカスしたレポート「Vormetric 2016 Data Threat Report 日本版」を公開しました。
Vormetricは、データセキュリティ調査を毎年行っており、4期目となる今回の調査は、米国の調査・分析会社である451リサーチ社の協力により行われました。Vormetricは、グローバル全体のレポート、および、クラウド、ビッグデータ、IoTに特化したレポートを発行しており、今回発表する日本版レポートは、日本の企業・団体のデータ脅威に対する認識、データ漏洩発生状況、データセキュリティに対する考え方や投資計画をまとめています。
◆ 日本企業・団体の93%がデータ脅威に対して脆弱であると感じている
◆ 39%が過去にデータ漏洩の被害を受けており、不安を感じている
◆ 外部からの脅威として感じているのは、サイバーテロリスト77%、サイバー犯罪76%
◆ データへの脅威や脆弱性を感じているにもかかわらず、
重要データを守るための投資の増加を考えている企業はわずか30%
451リサーチの情報セキュリティのシニア アナリストであり、当レポートの筆者であるGarrett Bekker(ガレット・ベッカー)氏は次のように述べています。
「データ漏洩は世界中どこでも起きていて、日本も例外ではありません。日本のITセキュリティリーダーは、データ漏洩を心配はしていることは確かですが、データセントリックセキュリティの導入には踏み切れていません。理由は、予算不足(49%)、導入が複雑であると認識(44%)しているためですが、ネットワークセキュリティやアンチウィルスなどの従来型の対策にかかる費用が増えているからでもあります。しかし、この従来型の技術は、ひとたび攻撃者がネットワークやシステムに不正に侵入してしまったら、安全を確保できないのです。」
◆ 日本企業にとってポジティブな結果
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇ コンプライアンスに対する現実的な考え
昨今の攻撃は、マルチレベル/マルチフェーズで多様化しており、コンプライアンスの基準に対応しているにも関わらず、攻撃からの防御に失敗する例が相次いでいます。世界中で、深刻なデータ漏洩の被害にあった企業・団体の多くが、PCIや他の標準が定めるコンプライアンス要件を満たしていました。
それにもかかわらず、世界で64%が、データ漏洩を防ぐためにコンプライアンスが「大変効果的」もしくは「きわめて効果的」と回答しています。それに対して日本は、コンプライアンスが効果的と回答したのは、わずか33%でした。
◇クラウドの重要なデータ
クラウド環境内での機密データの利用が低ければ、セキュリティリスクも低くなります。
日本の回答者のクラウド環境内での機密データ利用状況は、SaaSおよびIaaSが37%、PaaSが39%で、世界各国と比べても最も低い割合を示していました。
急成長しているこれらのクラウド環境での、機密データの利用が低いので、リスクを感じる割合も低い結果となっており、機密データの保管場所としてリスクを感じるトップ3で、SaaSと回答したのはわずか17%、IaaSおよびPaaSがそれぞれ11%でした。
◇特権ユーザに対するリスクの認識
データに対する内部不正の脅威の認識については、「特権ユーザ(システム管理者やシステムやネットワークをメンテナンス、管理するIT部門スタッフ)」が49%でトップ、「一般社員」が45%、「役員」が36%でした。これは、「一般社員」がトップの56%で、「特権ユーザ」がわずか36%で3位だった昨年よりも、前向きな変化があったことを意味します。オペレーティングシステムやアプリケーションでは、特権ユーザはシステム上の全てのデータへのアクセス権限を持つ場合多く、そのため内部からの不正アクセスの最大のリスクとなり、さらにアカウントの不正使用を狙う外部攻撃者の最大のターゲットとなります。
◆ 調査で明らかになった日本企業の潜在的な問題
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇データセキュリティツール導入の最大の障壁は「予算」と「煩雑性」
日本企業がデータセキュリティを導入できない理由は、「予算不足」が1位 (49%)、続いて「煩雑性」(44%)、「スタッフ不足」(37%)でした。データセキュリティの課題を解決するための予算が不足しているので、「データが脆弱と感じている」割合が高く(93%)、ITセキュリティ投資を増額する計画があると回答した企業が少なかった(31%)と思われます。
◇機密データの保管場所の把握
機密データの保管場所を「完全に把握している」と回答したのはわずか21%でした。65%は機密データの保管場所に関して「いくらか把握している」と回答していますが、これは日本企業内の機密情報が少なからずリスクにさらされていることを示しています。データセキュリティによる防御は、他の防御を突破された際の最後の砦ですが、機密データを包囲する形で設置されることが必須となりまです。機密データの保管場所を正しく把握していなければ必要な予防策を講じることができません。
◇データ漏洩を抑止できないツールへの投資が増加
日本企業が、今後投資を増やす計画であると回答したセキュリティ分野は、「ネットワーク防御」(29%)や「エンドポイント・モバイル防御」(26%)のためのツールに集中していますが、これらは、相次いでデータ漏洩防止に失敗しています。保存データ(data-at-rest)防御への投資の増加を検討している企業はわずか20%でした。
Vormetric社マーケティング担当副社長Tina Stewart(ティナ・スチュアート)は次のようにコメントしています。
「日本企業のITセキュリティリーダーはデータへのリスクに対して現実的な考え方をしています。しかし、データセキュリティに投資するレベルは低く、機密データの保護に効果が低い時代遅れのITセキュリティテクノロジーに投資しており、企業自体がリスクにさらされているといえます。」
◆ 調査レポートは、以下から無料でダウンロードできます。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇「Vormetric 2016 Data Threat Report 日本版」(日本語)
http://vormetric.com/campaigns/datathreat/2016/index-jp.html
◇「Vormetric 2016 Data Threat Report グローバル版」(英語)
http://www.vormetric.com/campaigns/datathreat/2016/
…………………………………………………………
○ 調査方法について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
「Vormetric 2016 Data Threat Report 日本版」の基になる調査は、Vormetric社の委託により米451 Research社が、2015年10月 ・11月、米国、イギリス、オーストラリア、ブラジル、ドイツ、日本の自動車、教育、エネルギー、エンジニアリング、ヘルスケア、IT関連、流通、テレコミュニケーションなどさまざまな業界の売上が5000万ドルから20億円ドル規模の企業、ならびに政府機関におけるITセキュリティ購買に影響力のあるシニアITエグゼクティブ、およびITセキュリティ担当者1,114名(内 日本100名以上)へのWebおよび電話により実施しました。
また、各国のVormetricのパートナーが調査を支援しており、日本では同社の国内一次販売代理店である株式会社アズム(本社:東京都港区、代表取締役 岡田 修門)がスポンサーしています。
○ 451リサーチ社について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
451リサーチ社は優秀な情報テクノロジー調査顧問会社です。技術革新と市場への普及にフォーカスしており、電子社会のリーダーに重要な洞察を発信しています。100人以上いるアナリスト、コンサルタントは調査や顧問サービス、イベントを通じて、北米、ヨーロッパを含む世界中の1000社を超えるクライアントに見識や分析を提供しています。2000年設立、本社ニューヨークの451リサーチ社は451グループの一員です。
…………………………………………………………