『国内クラウド市場 セキュリティに関する意識調査 vol.3』 ～クラウド導入の現場における導入前後の意識、実態に関する調査～

 

第3弾となる今回の調査では、自社のICT投資額を把握し、ICTに関して決済権を持つ役職である全国1000名の20～60代の男女に対し、「クラウド導入の現場における導入前後の意識、実態」についてインターネットによる調査を実施いたしました。
クラウド総研は、今後も定期的に、企業のクラウドに関する利用動向や意向などを調査・発表予定です。

※2015年3月～4月にインターネット調査にて実施。
※全国の法人において、自社の2013年～2015年のICT投資額を把握している（優先項目）、もしくは「取引しているベンダーの社名や依頼案件の概要」「現在社内で稼働しているシステムの稼働状況と社内評価」「現在自社が抱えるIT分野での悩み、今後の計画」について把握している、次長・課長以上の1000名を対象として実施。
※本リリースに含まれる調査結果をご掲載頂く際は、必ず「クラウド総研調べ」と明記ください。
※本リリースに含まれるデータの詳細内訳については「クラウド総研」までお問い合わせください。

≪調査結果概要≫

～クラウド導入の現場における導入前後の意識、実態に関する調査～

■Q1-1において、「クラウドとオンプレミスではどちらが安全だと思うか」を尋ねたところ、全体では、「どちらともいえない」が59.6%で最も高く、次いで「クラウド」（23.0%）、「オンプレミス」（17.4%）の結果となった。

■Q2-1において、「クラウドを導入したいと思いますか。導入済みの方は、導入前に「導入したい」と思っていましたか」と尋ねたところ、全体では、「ややそう思う（思っていた）」が34.7%で最も高く、次いで「どちらでもない」が26.6%で続く。

■Q3-1において、クラウドを利用していると回答した人に対し「クラウド導入後、問題は発生しましたか」を尋ねたところ、全体では、「問題は発生しなかった」が75.9%で最も高くなった。

■Q4において、「自社がクラウドを導入するとなった場合、社内の技術教育（学習コスト）は追い付いていると思うか」を尋ねたところ、全体では、「あまり追い付いていない」が43.4%で最も高く、次いで「だいたい追い付いている」が33.5%で続く。

■Q5-1において、「マイナンバー制度への対応を進めているか」を尋ねたところ、全体では、「まだ何もしていない」が49.8%で最も高く、次いで「対応策の検討を進めている」が38.3%で続く。

■Q5-2において、「マイナンバー制度への対応を進めているか」を尋ね、「自社がクラウドを導入するとなった場合、社内の技術教育（学習コスト）は追い付いていると思うか」の回答別に割合を出した。すると、 「既に対応策を決定し、準備を進めている」 で「十分に追い付いている」「だいたい追い付いている」、「対応策の検討を進めている」で「だいたい追い付いている」、「まだ何もしていない」 で「あまり追い付いていない」「全く追い付いていない」が全体と比較して高くなった。

■Q6-1において、マイナンバー制度について、「既に対応策を決定し、準備を進めている」「対応策の検討を進めている」と回答した人に対し、「どのような施策を進めているか」を尋ねた。全体では、「社内制度の改定」が60.6%で最も高く、次いで「情報セキュリティ認証の取得」が45.5%で続く。

～クラウドとオンプレミスに対する安全性の意識～

■「クラウドとオンプレミスではどちらが安全だと思うか」を尋ねたところ、全体では、「どちらともいえない」が59.6%で最も高く、次いで「クラウド」（23.0%）、「オンプレミス」（17.4%）の結果となった。

【クラウドとオンプレミスどちらが安全か？選択した理由の抜粋】

＜クラウド＞
・オンプレミスは、コスト面で高い。同じコストで比較すると、キャパシティ変更が可能なクラウドの方がよい。
・セキュリテイの脆弱性への対処が迅速、容易に出来る。
・データセンター設備自体に経費を多額に投資しており、オンプレミスの単独とは異なり、レベルが幾重にも対策してある。また、チェック体制も整っている。
・自社で管理しようとするとミスが起きやすく修復に時間がかかってしまうのでクラウドのほうがよい。

＜オンプレミス＞

・小規模のパソコンでシステムを組んでいるので、自分で管理したほうが目が行き届くから。
・クラウドはベンダー任せで見えない部分があるため。
・システム構成をコントロールできる。どちらも個別に気にしなくてはいけないことがあるが、コントロールできるかどうかが一番重要かと思う。
・外部との直接接点を持つ装置に手を加えることができ、かつ管理下に置くことができるので。

＜どちらともいえない＞
・ヒューマンエラーのほうが結局多いから。
・データ保存という部分ではクラウドの方が安全で確実。セキュリティーはオンプレミスのほうが安全。
・どちらも一長一短。
・一般的に外部からの攻撃に対しては、クラウドの方が良い場合が多いと思うが、
内部からの漏えいに関してはオンプレミスの方が対処しやすいと思うから。
・問題は利用者（ユ－ザ－）がその脅威を十分理解しているかどうかによると思う。

～クラウドとオンプレミスに対する安全性の意識～

■「クラウドとオンプレミスではどちらが安全だと思うか」を尋ねた回答者に対し「クラウドのセキュリティ対策について何が必要かをどの程度理解しているか」の回答別に割合を出したところ、クラウドのセキュリティ対策についての理解度が高いと認識している人ほど「クラウド」を選択していることが判明した。

■クラウドとオンプレミスではどちらが安全だと思うか」を尋ねた回答者に対し「自社のクラウドセキュリティ対策は十分だと思うか」の回答別に割合を出したところ、自社のクラウドセキュリティ対策を十分だと感じている人ほど「クラウド」を選択していることが判明した。一方、自社のクラウドセキュリティ対策を不足していると感じている人ほど「オンプレミス」を選択する割合が増えていることがわかった。
 

～クラウド導入への意識と実際のクラウド導入実績との関係性～

■「クラウドを導入したいと思いますか。導入済みの方は、導入前に「導入したい」と思っていましたか」と尋ねたところ、全体では、「ややそう思う（思っていた）」が34.7%で最も高く、次いで「どちらでもない」が26.6%で続く。

■「今後クラウドを導入する予定はありますか」と尋ねたところ、全体では、「今後導入する予定はない」が32.1%で最も高く、次いで「すぐにではないが（1年後以降だが）導入する予定」が30.1%で続く。

■Q2-1のグラフより、クラウドを導入したいと思っている意識が強い層ほど、クラウドを「既に導入済み」、クラウドを「すぐ（1年以内）に導入する予定」と回答している層が多くなっており、クラウド導入への意識の高さが実際の導入実行へ結びついていることが判明した。
 

 

～クラウド導入後の問題と予想とのギャップについて～

■クラウドを利用していると回答した人に対し「クラウド導入後、問題は発生しましたか」を尋ねたところ、全体では、「問題は発生しなかった」が75.9%で最も高くなった。

■前問において「クラウド導入後、問題が発生した」と回答した88人に対し、「クラウド導入後の問題について、予想していた不安（デメリット）と比べてどうだったか」を尋ねたところ、「やや問題が発生したが、想定どおりだった」と81.7%が回答した。また、「大きな問題が発生したが想定どおりだった」と66.7%が回答した。「想定以上の問題が発生した」と回答した割合は低くなる結果となった。
 

～クラウド導入に対する社内の教育について～

■「自社がクラウドを導入するとなった場合、社内の技術教育（学習コスト）は追い付いていると思うか」を尋ねたところ、全体では、「あまり追い付いていない」が43.4%で最も高く、次いで「だいたい追い付いている」が33.5%で続く。

■業種別にみると、「建設業」で「全く追い付いていない」、「情報通信業」で「だいたい追い付いている」が全体より10pt以上高くなっていることが判明した。「卸売業・小売業」で「あまり追い付いていない」「全く追い付いていない」、「学術研究・専門・技術サービス業」で「だいたい追い付いている」が全体と比較して5pt以上高くなっている。
 

～マイナンバー制度への対応について～

■「マイナンバー制度への対応を進めているか」を尋ねたところ、全体では、「まだ何もしていない」が49.8%で最も高く、次いで「対応策の検討を進めている」が38.3%で続く。

■業種別にみると、「製造業」で「対応策の検討を進めている」、「金融業・保険業」で「既に対応策を決定し、準備を進めている」「対応策の検討を進めている」、「不動産業・物品賃貸業」、 「学術研究・専門・技術サービス業」、 「医療・福祉」で「まだ何もしていない」が全体と比較して10pt以上高くなっている。「情報通信業」 、「卸売業・小売業」 「複合サービス事業及びサービス業」では「まだ何もしていない」が全体と比較して5pt以上高い結果となった。

～マイナンバー制度への対応とクラウド導入との関係性～

■「マイナンバー制度への対応を進めているか」を尋ね、「自社がクラウドを導入するとなった場合、社内の技術教育（学習コスト）は追い付いていると思うか」の回答別に割合を出した。すると、 「既に対応策を決定し、準備を進めている」 で「十分に追い付いている」「だいたい追い付いている」、「対応策の検討を進めている」で「だいたい追い付いている」、「まだ何もしていない」 で「あまり追い付いていない」「全く追い付いていない」が全体と比較して高くなった。

■「マイナンバー制度への対応を進めているか」を尋ね、「今後クラウドを導入する予定はあるか」の回答別に割合を出した。すると、 「既に対応策を決定し、準備を進めている」 「対応策の検討を進めている」で 「既に導入済み」 、 「まだ何もしていない」 で「今後導入する予定はない」が全体と比較して高い結果となった。

 

～マイナンバー制度の準備体制について～

■マイナンバー制度について、「既に対応策を決定し、準備を進めている」「対応策の検討を進めている」と回答した人に対し、「どのような施策を進めているか」を尋ねた。全体では、「社内制度の改定」が60.6%で最も高く、次いで「情報セキュリティ認証の取得」が45.5%で続く。

■マイナンバー制度について、「既に対応策を決定し、準備を進めている」「対応策の検討を進めている」と回答した人に対し、「特にシステムに関してどのような施策を行っているか」を尋ねた。全体では、「現在利用しているシステムのアップデート」が73.1%で最も高く、次いで「自社システムのクラウド化」が30.9%で続く。

■Q6-2の設問に回答した人を「クラウドとオンプレミスではどちらが安全だと思うか」の回答別に割合を出したところ、「自社システムのクラウド化」を回答した人のうち54.4%が、「クラウドの方が安全だ」と回答していることが判明した。
 

～総評～
 

アイレット株式会社　情報セキュリティ管理責任者
齊藤　愼仁

〈略歴〉
アイレット株式会社にて社内インフラセクションのリーダーを担当。情報セキュリティ管理責任者、個人情報管理責任者、PCIDSS管理責任者を兼務する。外部監査の認証を取り纏める一方で、社内インフラチームのセクションリーダーを兼任し、社内で利用するツールやクラウドサービスの評価・導入などを行う。

■クラウド化にあたって最も注目されている要素はセキュリティ

クラウド化は、単一のパブリッククラウド事業者にロックインするものと考えて差し支えないですし、マルチクラウド環境でサービス構築ができる程の体力を持った企業は多くはありません。まずは、自社のセキュリティポリシーや事業継続方針・規定などを改めて確認し、今後クラウド化を検討する企業は、クラウド環境固有のリスクに関する確認が必要となるでしょう。

■パブリッククラウドを再販するベンダーから調達する場合、ベンダー評価が最も重要

ユーザーは自身のビジネスに専念すべきであり、その為のクラウド再販ベンダーが多数存在します。クラウド環境におけるリスク管理活動は、調査段階はもちろんのこと、運用後にも継続的に行う必要があります。ベンダーとの信頼関係を築くことで効率的な情報収集が期待できますし、ベンダーはユーザーに対して積極的に情報を提供すべきです。
そして、ベンダー自身がどの様なセキュリティ対策を講じているか、第三者機関の客観的な評価・監査を受けているか、自社のセキュリティポリシーに照らし合わせて柔軟に対応してくれるか、を積極的に評価・相談した方が良いでしょう。

■近年のセキュリティ問題への対策姿勢 

近年話題になっている標的型攻撃や情報漏洩は、クラウドであってもオンプレミスであっても会社ごとに適切な対応が求められます。マイナンバー制度と同様に、事業や規模に合わせた施策を模索することが重要になってきています。
ユーザーは自身の目的やリスク管理について積極的にベンダーと交流し、ユーザーにとってのリスクを可視化することで、より一層クラウド化への障壁が少なくなるでしょう。

～マイナンバー制度とは～
 

マイナンバー制度においては、住民票を有する全ての方に対して、１人１番号のマイナンバーを住所地の市町村長が指定します。原則として、一度指定されたマイナンバーは生涯変わりません。 
国の行政機関や地方公共団体などでは、社会保障、税、災害対策の分野で保有する個人情報とマイナンバーとを紐づけて効率的に情報の管理を行い、さらにマイナンバーを活用して、同一の者に関する個人情報を他の機関との間で迅速かつ確実にやり取り（情報連携）することができるようになります。 
また、他人のマイナンバーを利用した成りすましを防止するための厳正な本人確認の仕組み、マイナンバーを保有する機関の情報管理や情報連携における個人情報保護の措置も取り入れています。
（参考：内閣官房　マイナンバー社会保障・税番号制度http://www.cas.go.jp/jp/seisaku/bangoseido/faq/faq1.html#q1-1）
平成２７年１０月にマイナンバーが通知され、平成２８年１月からマイナンバーの利用が開始となります。企業の給与システムなど根幹的な部分にも変更を与える制度にも関わらず、企業側の準備体制がいまだ整っていないことが問題視されています。