ServiceNow:情報セキュリティに関する国際調査 日本企業の半数以上がセキュリティレスポンスの自動化の採用や強化を検討
[18/04/20]
提供元:PRTIMES
提供元:PRTIMES
2018年4月20日 - ServiceNow Japan株式会社(本社:東京都港区、社長:村瀬 将思 以下、ServiceNow)は本日、米国Ponemon Instituteとの共同調査レポート「脆弱性対策の現状:パッチ適用への高まる関心」を発表しました。本調査により、企業の情報セキュリティにおける脅威の高まりに対応するうえで、スプレッドシートや電子メールによる手動プロセス、それぞれが連携されていないシステム、そして人材不足などが脆弱性への対応を中心とした情報漏えい対策への大きな課題となっていることや、その課題を解決するアプローチとして自動化や人工知能(AI)の採用が進んでいることが明らかになりました。
本調査は、プライバシー、データ保護、情報セキュリティポリシーに関する調査を行っている独立系調査会社である米国Ponemon InstituteとServiceNow Inc.が共同で、日本を含む9か国、約3,000人(うち、日本人は394人)の情報セキュリティ担当者を対象に実施しました。
セキュリティレスポンスを軽視する日本
日本企業では、情報セキュリティ部門の予算や人材などの85%(世界9カ国平均で79%)を、ファイアウォールやデータ漏えい防止ツールなどのデータの保護/検出機能に投資している一方で、セキュリティレスポンスには限られた予算や人材しか割いていないことが明らかになりました。このことは、他国と比べて日本企業が脅威発生前の対策に重点を置き、脅威が発生した後の対策には十分に手が回っていないことを示しています。実際に日本は、保護、検出、レスポンスの主要なセキュリティ対策の中で、レスポンスに対する投資が調査国中でオランダと並んで最も低い値(日本で15%、世界9カ国平均で21%)を示しています。ServiceNowでは、セキュリティレスポンスのような比較的コントロールが容易な分野への投資は、企業の情報セキュリティを大幅に向上させることができるものと考えています。
本調査から判明した日本に関する主なインサイトは以下の通りです。
1. 不十分なパッチ管理が、情報漏えいの大きな原因となっている。
2. 手動プロセスやそれぞれが連携されていないシステム、情報セキュリティ人材の不足が、タイムリーなパッチ適用の障壁となっている。
3. 脆弱性対応のために、自動化やAIなどの最新テクノロジーを活用することが重要である。
セキュリティレスポンスの弱体化につながる対症療法としてのパッチ適用
日本の回答者の48%が過去2年間で情報漏えいを経験したと答えており、この割合は世界平均と同水準となっています。過去2年間で情報漏えいを経験したと答えた日本の回答者のうち、64%(世界9カ国平均で57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べています。このことは、脆弱性へのタイムリーな対応が外部からの攻撃を防ぐ上で非常に重要であるということを示唆しています。
タイムリーなパッチ適用を妨げる3つの理由
情報セキュリティ部門は、手動プロセスやそれぞれが連携されていないシステム、そしてセキュリティ人材の不足が原因で、タイムリーなパッチ適用に課題を抱えています。
・ 日本の83%(世界9カ国平均で72%、日本は調査対象9カ国のうち最も高い割合)の回答者が、脆弱性の量に情報セキュリティ部門の予算や人材の供給が追い付いていないと答えており、この予算や人材の不足が、日本での脆弱性対策パッチの適用プロセスで遅延を引き起こす最大の要因となっています。
・ 日本の55%(世界9カ国平均で61%)の回答者が、自動化されていない手動プロセスが、脆弱性へのパッチ適用の障害となっていると述べています。
・ 日本の57%(世界9カ国平均で55%)の回答者が、パッチ適用など脆弱性への対応そのものよりも、調整や対応計画の策定などの手動プロセスに多くの時間を割いていると認めています。
・ パッチ適用までのチーム間の作業調整に、日本では平均12.72日(世界9カ国平均で12.1日)を要しています。
・ 日本の69%(世界9カ国平均で73%)の回答者が、情報セキュリティ部門とIT部門の間で、IT資産やアプリケーションに関する情報を共有できていないと述べています。
また、本調査では過去2年間で情報漏えいのなかった企業の特徴についても明らかになりました。情報漏えいが発生しなかった企業は、情報漏えいを経験した企業と比べて、脆弱性やサイバー攻撃の検出、タイムリーな脆弱性対策パッチの適用などの分野に関する自己評価が高くなっています。
情報セキュリティの課題を解決する自動化やAI
非営利の国際IT専門団体であるISACAによると、2019年までに情報セキュリティ専門家が200万人不足すると予測されています。また、日本の70%(世界9カ国平均で64%)の回答者が、今後12カ月で脆弱性対策パッチの適用のための情報セキュリティ担当者を雇う予定であると回答しています。しかしその一方で、日本では、人材不足が深刻で特にIT人材の採用が困難となっている実情がある中、企業の間では新たなアプローチの活用が始まっています。実際に、セキュリティレスポンスに関するテクノロジーとして、脅威インテリジェンスの活用(日本の55%、世界9カ国平均で51%)、セキュリティ対応の自動化(日本の50%、世界9カ国平均で45%)、AI・機械学習の活用(日本の39%、世界9カ国平均で33%)が日本企業の間でも広がっています。
また、2018年5月から欧州で施行される一般データ保護規則(GDPR)のような顧客情報を含む情報漏えいに対する企業の責任を問う法律が新たに制定された場合のパッチ管理の能力を高めるための手段として最も多かった回答は、自動化の採用や強化(日本の54%、世界9カ国平均で46%)となり、担当者の数を増やすと答えた回答者(日本の43%、世界9カ国平均で40%)を大きく上回っています。これらの事実は、日本企業が自動化やAIなどの最新テクノロジーを取り入れることでセキュリティレスポンスをより効率化し、強化を図っていることを示唆しています。
その他の参考情報
ServiceNow セキュリティオペレーションについて詳しくはこちら
https://www.servicenow.co.jp/products/security-operations.html
調査方法
ServiceNow Inc.は、Ponemon Instituteに委託し、フランス(369人)、ドイツ(453人)、日本(394人)、オランダ(340人)、オーストラリア/ニュージーランド(220人)、シンガポール(165人)、英国(387人)、米国(595人)に拠点を置く従業員1,000人以上の企業2,923人の情報セキュリティ担当者を対象とした調査をオンラインで実施しました。Ponemon Institute は、2002年に設立された、プライバシー、データ保護、情報セキュリティポリシーを専門とする独立系調査会社です。
###
ServiceNowについて
ServiceNow Inc.は、世界で最も急成長を遂げている企業向けクラウドサービス企業の1社です。
同社が扱うSaaS型サービスマネジメントツール「ServiceNow」は、ITSM(ITサービスマネジメント)を中心に世界で5,300社の導入実績があります。要件に合わせて容易に利用可能なポータル、データベース、ワークフロー、開発環境、機械学習機能を擁する単一プラットフォーム上で、ITSM、カスタマーサービス、セキュリティオペレーション、人事管理サービスを提供しているので、企業内の広範囲なビジネスプロセスを、部門組織を横断する形でワークフロー化することができます。独自の業務アプリケーションを簡易に開発することも可能なので、企業のデジタル化、業務最適化を推進し、従業員、ユーザー、お客さまに高いエクスペリエンスを提供する企業変革の基盤となります。
http://www.servicenow.co.jp
###
ServiceNow、ServiceNowのロゴ、その他のServiceNowのマークは、ServiceNow, Inc.の米国およびその他の国における商標または登録商標です。その他の会社名および製品名は、それぞれ各社の商標または登録商標です。
本調査は、プライバシー、データ保護、情報セキュリティポリシーに関する調査を行っている独立系調査会社である米国Ponemon InstituteとServiceNow Inc.が共同で、日本を含む9か国、約3,000人(うち、日本人は394人)の情報セキュリティ担当者を対象に実施しました。
セキュリティレスポンスを軽視する日本
日本企業では、情報セキュリティ部門の予算や人材などの85%(世界9カ国平均で79%)を、ファイアウォールやデータ漏えい防止ツールなどのデータの保護/検出機能に投資している一方で、セキュリティレスポンスには限られた予算や人材しか割いていないことが明らかになりました。このことは、他国と比べて日本企業が脅威発生前の対策に重点を置き、脅威が発生した後の対策には十分に手が回っていないことを示しています。実際に日本は、保護、検出、レスポンスの主要なセキュリティ対策の中で、レスポンスに対する投資が調査国中でオランダと並んで最も低い値(日本で15%、世界9カ国平均で21%)を示しています。ServiceNowでは、セキュリティレスポンスのような比較的コントロールが容易な分野への投資は、企業の情報セキュリティを大幅に向上させることができるものと考えています。
本調査から判明した日本に関する主なインサイトは以下の通りです。
1. 不十分なパッチ管理が、情報漏えいの大きな原因となっている。
2. 手動プロセスやそれぞれが連携されていないシステム、情報セキュリティ人材の不足が、タイムリーなパッチ適用の障壁となっている。
3. 脆弱性対応のために、自動化やAIなどの最新テクノロジーを活用することが重要である。
セキュリティレスポンスの弱体化につながる対症療法としてのパッチ適用
日本の回答者の48%が過去2年間で情報漏えいを経験したと答えており、この割合は世界平均と同水準となっています。過去2年間で情報漏えいを経験したと答えた日本の回答者のうち、64%(世界9カ国平均で57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べています。このことは、脆弱性へのタイムリーな対応が外部からの攻撃を防ぐ上で非常に重要であるということを示唆しています。
タイムリーなパッチ適用を妨げる3つの理由
情報セキュリティ部門は、手動プロセスやそれぞれが連携されていないシステム、そしてセキュリティ人材の不足が原因で、タイムリーなパッチ適用に課題を抱えています。
・ 日本の83%(世界9カ国平均で72%、日本は調査対象9カ国のうち最も高い割合)の回答者が、脆弱性の量に情報セキュリティ部門の予算や人材の供給が追い付いていないと答えており、この予算や人材の不足が、日本での脆弱性対策パッチの適用プロセスで遅延を引き起こす最大の要因となっています。
・ 日本の55%(世界9カ国平均で61%)の回答者が、自動化されていない手動プロセスが、脆弱性へのパッチ適用の障害となっていると述べています。
・ 日本の57%(世界9カ国平均で55%)の回答者が、パッチ適用など脆弱性への対応そのものよりも、調整や対応計画の策定などの手動プロセスに多くの時間を割いていると認めています。
・ パッチ適用までのチーム間の作業調整に、日本では平均12.72日(世界9カ国平均で12.1日)を要しています。
・ 日本の69%(世界9カ国平均で73%)の回答者が、情報セキュリティ部門とIT部門の間で、IT資産やアプリケーションに関する情報を共有できていないと述べています。
また、本調査では過去2年間で情報漏えいのなかった企業の特徴についても明らかになりました。情報漏えいが発生しなかった企業は、情報漏えいを経験した企業と比べて、脆弱性やサイバー攻撃の検出、タイムリーな脆弱性対策パッチの適用などの分野に関する自己評価が高くなっています。
情報セキュリティの課題を解決する自動化やAI
非営利の国際IT専門団体であるISACAによると、2019年までに情報セキュリティ専門家が200万人不足すると予測されています。また、日本の70%(世界9カ国平均で64%)の回答者が、今後12カ月で脆弱性対策パッチの適用のための情報セキュリティ担当者を雇う予定であると回答しています。しかしその一方で、日本では、人材不足が深刻で特にIT人材の採用が困難となっている実情がある中、企業の間では新たなアプローチの活用が始まっています。実際に、セキュリティレスポンスに関するテクノロジーとして、脅威インテリジェンスの活用(日本の55%、世界9カ国平均で51%)、セキュリティ対応の自動化(日本の50%、世界9カ国平均で45%)、AI・機械学習の活用(日本の39%、世界9カ国平均で33%)が日本企業の間でも広がっています。
また、2018年5月から欧州で施行される一般データ保護規則(GDPR)のような顧客情報を含む情報漏えいに対する企業の責任を問う法律が新たに制定された場合のパッチ管理の能力を高めるための手段として最も多かった回答は、自動化の採用や強化(日本の54%、世界9カ国平均で46%)となり、担当者の数を増やすと答えた回答者(日本の43%、世界9カ国平均で40%)を大きく上回っています。これらの事実は、日本企業が自動化やAIなどの最新テクノロジーを取り入れることでセキュリティレスポンスをより効率化し、強化を図っていることを示唆しています。
その他の参考情報
ServiceNow セキュリティオペレーションについて詳しくはこちら
https://www.servicenow.co.jp/products/security-operations.html
調査方法
ServiceNow Inc.は、Ponemon Instituteに委託し、フランス(369人)、ドイツ(453人)、日本(394人)、オランダ(340人)、オーストラリア/ニュージーランド(220人)、シンガポール(165人)、英国(387人)、米国(595人)に拠点を置く従業員1,000人以上の企業2,923人の情報セキュリティ担当者を対象とした調査をオンラインで実施しました。Ponemon Institute は、2002年に設立された、プライバシー、データ保護、情報セキュリティポリシーを専門とする独立系調査会社です。
###
ServiceNowについて
ServiceNow Inc.は、世界で最も急成長を遂げている企業向けクラウドサービス企業の1社です。
同社が扱うSaaS型サービスマネジメントツール「ServiceNow」は、ITSM(ITサービスマネジメント)を中心に世界で5,300社の導入実績があります。要件に合わせて容易に利用可能なポータル、データベース、ワークフロー、開発環境、機械学習機能を擁する単一プラットフォーム上で、ITSM、カスタマーサービス、セキュリティオペレーション、人事管理サービスを提供しているので、企業内の広範囲なビジネスプロセスを、部門組織を横断する形でワークフロー化することができます。独自の業務アプリケーションを簡易に開発することも可能なので、企業のデジタル化、業務最適化を推進し、従業員、ユーザー、お客さまに高いエクスペリエンスを提供する企業変革の基盤となります。
http://www.servicenow.co.jp
###
ServiceNow、ServiceNowのロゴ、その他のServiceNowのマークは、ServiceNow, Inc.の米国およびその他の国における商標または登録商標です。その他の会社名および製品名は、それぞれ各社の商標または登録商標です。