今後のセキュリティ管理の鍵はサイバー攻撃を前提に事業継続性を向上させるサイバーレジリエンス（1/2 ページ）

NRIセキュアが2002年度から過去21回実施してきた「企業における情報セキュリティ実態調査」。22回目となる2024年度の調査では、日本、米国、豪州の企業を対象に調査を実施した結果、各国企業のセキュリティに対する意識や対策状況の違いが浮き彫りになった。

[山下竜大，ITmedia]

　NRIセキュアテクノロジーズは、2025年2月に「企業における情報セキュリティ実態調査2024」を公開した。この調査は2024年7月〜10月の期間に、日本、米国、豪州の3カ国の企業計2491社（日本1481社、米国507社、豪州503社）を対象に実施されたもの。セキュリティマネジメント、サプライチェーン、セキュリティ対策、ゼロトラストセキュリティ、生成AIの5つのカテゴリで各国企業のセキュリティに対する意識や対策状況が調査されている。同社では、近年サイバーセキュリティ強化の取り組みが盛んで、野心的な目標があることから豪州にも着目している。

EDRやNDRなどを統合して管理、運用の負荷を軽減するXDRに注目

　セキュリティマネジメントの観点では、まずIT関連予算に占めるセキュリティ関連予算の割合が増加傾向にある。これまで日本企業では、IT関連予算に占めるセキュリティ関連予算の割合において10％の壁があり、2023年に10％を超えた企業は22.3％だった。しかし2024年には、29.8％の企業が10％の壁を越えている。日本企業のセキュリティ投資が拡大している背景として、ランサムウェア攻撃などの特別損失を計上するようなセキュリティインシデントが頻発していることをはじめ、「NISTサイバーセキュリティフレームワーク2.0（CSF2.0）」や「金融分野におけるサイバーセキュリティに関するガイドライン」などのグローバルフレームワークや業界特化型のガイドライン整備・公表が考えられる。

　セキュリティ対策の新しいソリューションとしては、1位がEDR（Endpoint Detection and Response）で67.9％、2位がNDR（Network Detection and Response）で57.7％と導入が拡大しており、3位のXDR（Extended Detection and Response）が49.2％で対前年比6.1ポイント増と注目度が高まっている。XDRが注目される理由を、NRIセキュアテクノロジーズ セキュリティソリューション事業本部 本部長の足立道拡氏は、「サイバー攻撃対策として、EDRとNDRが一般化していますが、それに伴いEDRやNDRなどのソリューションを統合し、管理／運用の負荷を軽減する目的でXDRへの注目度が高まっています」と話す。

　また内部不正対策の強化として、4位のIDaaS（IDentity as a Service）が45.0％、5位のDLP（Data Loss Prevention）が44.3％、 8位のUEBA（User and Entity Behavior Analytics）が 37.0％、13位のITDR（Identity Threat Detection and Response）が25.8％と注目度が高くなっている。

　「IPAの『情報セキュリティ10大脅威』でも、『内部不正による情報漏えい等』が4位と報告されています。内部不正対策は単一のソリューションを導入して終わりではなく、IDaaSやデータ漏えいの防止、アイデンティティの脅威の検知・対応などのソリューションと連携させなければ正しい対策は実現できません」（足立氏）

導入済ソリューションでは3年連続でEDRが1位に

　さらにサイバーレジリエンスは、まだまだ浸透しているとは言えないレベルで、企業規模により捉え方は大きく異なっている。日本企業1481社に「サイバーレジリエンスを理解し実践しているか」を調査したところ、理解していると回答した日本企業は24.7％だが、企業規模が1万人以上の企業45社では80％がサイバーレジリエンスを理解していると回答している。具体的な取り組みとしては、「訓練、教育の実施」や「技術的対策の強化（検知、対応、復旧）」が上位に挙がっている。足立氏は、「サイバーレジリエンスに関する調査は、今回が初めてですが言葉自体が難しいので、中身を理解できない、具体的なイメージがわいていない企業も多いことが予想されるため、目的や意味を平易に伝えていくことが普及の鍵になります」と話している。

サイバーレジリエンスの浸透度合いは企業規模により異なる

DMARC実施のきっかけはGmailの送信者ガイドラインへの対応

　サプライチェーンの観点では、企業規模が大きくなるにつれてサプライチェーン統制状況が進んでいるが、この傾向は例年と大きく変わっていない。国内関係会社／グループ会社の統制状況と国内パートナー／委託先の統制状況を比較すると、国内パートナー／委託先の統制状況を「把握していない」という回答が多い。しかし2024年に、「CSF2.0」や「金融分野におけるサイバーセキュリティに関するガイドライン」など、サードパーティリスクマネジメント（TPRM）を求めるガイドラインが公開されたことから、今後はこれまで以上にサードパーティを含むサプライチェーン全体のリスクマネジメントの持続可能な仕組み、体制の整備が求められることになる。

　セキュリティ対策の観点では、「年1回以上実施しているセキュリティテスト」に関する調査、および「次の3年間で実施頻度を向上させたいセキュリティテスト」に関する調査を実施している。年1回実施しているセキュリティテストの調査結果では、「脆弱性残存状況の検証」が27.1％ともっとも多く、その他の検証活動は約6％だった。従業員数1万人以上の企業が次の3年間で向上させたいセキュリティテストは、パープルチーミングやレッドチームオペレーション・TLPT（脅威ベースのペネトレーションテスト）実施によるサイバーレジリエンスの検証が上位を占めている。

　「セキュリティテストやリスク評価は、攻撃者目線の評価である脆弱性診断、および脆弱性を悪用してどこまで侵入できるかを評価するペネトレーションテストが一般的でした。現在は、攻撃者目線で対策できているかだけでなく、CSIRTやSOCによる防御が機能しているかというレッドチーミングやパープルチーミングにより対応力を評価することが必要です。脆弱性診断だけでは足りなくなっているのが実情です」（足立氏）。

攻撃者と防御者の目線でサイバーレジリエンスを強化

　電子メールの送信元ドメインを認証する技術であるDMARCの実施状況と実施のきっかけに関する調査は、2023年に初めて実施し、2024年が2回目となる。日本企業のDMARCの実施率は、2023年は13.0％だったが、2024年は29.8％に増加している。DMARC実施のきっかけの1位は「Google（Gmail）の送信者ガイドラインへの対応」で64.5％となっている。足立氏は、「日本企業のDMARC実施率は、米豪と比較すると低いものの想定どおり増えています。一方、DMARCの課題として『DMARCレポートの分析ができていない』と回答した日本企業がもっとも多く、可視化された情報を入手したが、内容が複雑なことから十分に分析、活用できていない企業が多いという現状が示されています」と話している。

日本企業ではDMARCレポートの分析が今後の課題