NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2023」を実施

おもな調査結果は次のとおりです。

■生成AIサービスの導入率が約２割にとどまる日本企業

１．導入状況

生成AIサービスの導入状況について、セキュリティルールを「整備の上、導入済み」または「整備していないが導入済み」と回答した割合は、日本では合計18.0％でした（従業員1万人以上の日本企業では50％）。同じ選択肢で比較した結果、アメリカは73.5％、オーストラリアは66.2％と、いずれも日本と比べ生成AIサービスの導入率が高いことがわかります（図1）。

また、日本においては、従業員規模を問わずおよそ1割の企業が「利用禁止のため未導入」と回答していますが、アメリカ0.9%、オーストラリア2.0%と比べ割合が高く、生成AIサービスの導入に対する日本企業の慎重な姿勢がうかがえます。さらに、従業員数が1千人未満の企業では、「不要のため未導入」という回答が半数近くを占めており、生成AIサービスの必要性を感じていない日本企業が多く存在する傾向が見受けられます。

図1：生成AIサービスのルール整備と導入の状況（国別および日本企業における従業員規模別）

２．生成AIサービスの利用に関するセキュリティルール

生成AIサービスの利用に関するセキュリティルールを「整備の上、導入済み」「整備の上、導入予定」と回答した企業に対して、どのようなルールを整備または整備予定かについて複数回答で尋ねたところ、日本では「機密情報を入力してはいけないルールを定めている」という回答の割合が59.2%と最も多く、アメリカの38.4％、オーストラリアの31.6％を上回りました（図2）。

一方、アメリカでは「利用時の承認プロセスを整備している」（61.6%）、オーストラリアでは「定期的に利用しているサービスを確認している」（51.0％）がそれぞれ最も多くなりました。今後普及が見込まれる生成AIサービスの利用においては、ユーザの判断に頼ったルールを整備するだけでなく、監視・統制システムなどの仕組みを用いて利用環境を整えることも重要です。

図2：生成AIサービスの利用に関する整備済み・整備予定のセキュリティルール（国別）

■偽装メール対策「DMARC」の実施率は日本の約1割に対し米・豪では8割台

DMARC（Domain-based Message Authentication, Reporting and Conformance）とは、電子メールの送信元ドメインをもとに、正規に送信されたメールであるかどうかを認証する技術のことで、自社ドメインを偽装した悪意のあるメールから受信者を保護することを目的として、全世界で採用が進んでいます。

今回の調査では、DMARC実施段階を、「Reject（拒否）／Quarantine（検疫）／None（何もしない）」の3つに分類した上で、「DMARCの実施・検討状況」について尋ねました。その結果、いずれかの形でDMARCを「実施済み」と回答した企業は、日本13.0%、アメリカ81.8％、オーストラリア89.4%で、日本企業のDMARC実施度合いが大幅に低い状況にあります（図3）。

企業のDMARC実施割合が高い米・豪においては、政府主導でDMARCの実施が推進されています。日本でも、2023年2月に経済産業省、警察庁および総務省がクレジットカード会社に対して、DMARC実施を要請[i]したほか、同年7月には「政府機関等のサイバーセキュリティ対策のための統一基準群」[ii]において、偽装メール対策としてDMARCが明記されました。さらに、2023年11月にGoogleから発表された「メール送信者のガイドライン」では、メール送信を行う事業者に対してDMARC対応を求めるなど、今後日本でもDMARC実施が進むとみられます。​

図3：DMARCの実施・検討状況（国別）

■特定社会基盤事業者に限らず、日本企業の約４割が経済安全保障推進法をうけてセキュリティ強化を意識

2022年にわが国で成立した経済安全保障推進法[iii]に関連して、サイバー分野を含むセキュリティの強化を意識しているかどうかを日本企業に尋ねたところ、「強く意識している」「意識している」と回答した割合は、全体の39.6％となりました（図4）。

そのうち、国民生活や経済活動の基盤となるサービスを提供する「特定社会基盤事業者」に指定された企業に絞ると、88.2%の企業（17社中15社）がセキュリティ強化を「強く意識している」「意識している」と答えました。全体の傾向と比べると、特定社会基盤事業者は経済安全保障推進法に関連してセキュリティ強化をより意識しています。

図4：経済安全保障推進法に関連して、サイバー分野を含むセキュリティの強化を意識している日本企業の割合

「企業における情報セキュリティ実態調査2023」の詳細なレポートは、次のWebサイトから入手していただけます。

https://www.nri-secure.co.jp/download/insight2023-report

今回の調査で、生成AIのセキュリティ、DMARCなどの領域において米・豪と比べた際に、日本企業の取り組みの遅れが浮き彫りになりました。NRIセキュアは、今回の調査結果を踏まえ、今後も企業・組織の情報セキュリティ対策を支援し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] 経済産業省、警察庁及び総務省は、クレジットカード番号等の不正利用の原因となるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術（DMARC）の導入をはじめとするフィッシング対策の強化を要請しました（出所：経済産業省「クレジットカード会社等に対するフィッシング対策の強化を要請しました」2023年2月1日）。

[ii] 政府機関等のサイバーセキュリティ対策のための統一基準群：サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群」の令和5年度版を公開しました。

[iii] 経済安全保障推進法：国際情勢の複雑化、社会経済構造の変化等に伴い、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定するとともに、安全保障の確保に関する経済施策として、（1）重要物資の安定的な供給の確保、（2）基幹インフラ役務の安定的な提供の確保、（3）先端的な重要技術の開発支援、（4）特許出願の非公開に関する4つの制度を創設することを目的として、2022年5月に成立した法律です。

【ご参考】

■調査概要

※単一回答のパーセンテージについては、小数点以下の値の切り上げ・切り捨てにより、各選択肢の回答割合の合計値が100％にならない場合があります。