NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2024」を実施

NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、社長：建脇 俊一、以下「NRIセキュア」）は、2024年7月から10月にかけて、日本、アメリカ、オーストラリア3か国の企業計2,491社を対象に、情報セキュリティに関する実態調査を実施しました。この調査は、2002年度から実施しており、今回で22回目となります。

調査で取り上げたさまざまなテーマのうち、生成AI、ゼロトラストセキュリティ[i]、サイバーレジリエンス、セキュリティ関連予算に関する結果を、一部抜粋して紹介します。

◆日本企業の生成AIの活用率は65.3%

生成AIの活用用途について尋ねたところ、日本では社内の個人利用が最も多く（51.4%）、問い合わせチャットボットなどを含む顧客向けサービスで活用していると答えた割合は6.3％にとどまりました（図1）。一方、米・豪では社内向け業務や顧客向けサービスでの活用が多く、日本と比べて活用用途に違いがあることが浮き彫りになりました。また、「活用していない」と回答した割合から、何らかの形で活用している企業は、日本では65.3％であったのに対し、米国は99.2％、豪州は100％と、ほとんどの企業で生成AIを活用していることが分かりました。

生成AIを活用して顧客向けサービスを提供していると回答した企業に対して、生成AIサービスの提供を検討するにあたり、懸念や課題となることについて尋ねたところ、日本では「入力可能なデータの判断」と「ルールを策定する人材の不足」と回答した企業がそれぞれ45.7%と最も多い結果となりました（図2）。米国では「利用コストの予測」（47.6％）、豪州は「ルールを策定する人材の不足」（44.4％）が最も多くを占め、日本ではデータの入出力に対する懸念や課題意識が強いことがうかがえました。

図1：生成AIの活用用途

Q.「生成AI（ChatGPT、コード生成AI、Azure OpenAI Serviceなど）活用の用途について、以下の中からあてはまるものをすべてお選びください。」（複数回答）

図2：生成AIサービスの提供を検討するにあたり懸念や課題となること

Q.「生成AIサービスの提供を検討するにあたり、懸念や課題となることはありますか。以下の中からあてはまるものをすべて選択してください。」（複数回答）

◆ゼロトラストセキュリティは検討段階から実装要否を決めた段階へ

ゼロトラストセキュリティの実施状況について尋ねたところ、「ゼロトラストを全面的に実装している」または「ゼロトラストを一部実装している」と回答した日本企業の割合は、合計で21.1%となり、2年前の調査と比べると7.8ポイント増加しました（図3）。また、「ゼロトラストを検討したが実装しなかった」と回答した割合も9.1％と、同じく4ポイント増加しています。これらより、ゼロトラストを実装するかどうかを検討する段階を終えて、実装の有無を決めた企業が増えている傾向が推測できます。

さらに、VPNの使用状況を調査しました。その結果、約8割の日本企業が「今後も使用を継続予定」と回答した一方で、6.8%の企業が「使用停止を検討している」と回答し、2.9%は直近一年間または一年以上前に「使用を停止」したと答えました（図4）。「使用停止を検討している」または「使用を停止した」企業に停止の理由を尋ねたところ、「ゼロトラストセキュリティ推進による脱VPN」を選んだ割合が62.2%と最も多くを占めました。サイバー攻撃の標的となりやすいVPNの利用をやめ、ゼロトラストセキュリティによるアクセス制御を強化する動きが広がっていることが考えられます。

図3：日本におけるゼロトラスト実施状況

Q.「ゼロトラストの実施状況について、以下の中から最もよくあてはまるものを1つお選びください。」

図4：日本におけるVPNの使用状況

Q.「あなたの会社では現在VPNを使用していますか？以下の中から最もよくあてはまるものを1つ選択してください。」

※各選択肢の小数点以下の値の四捨五入の関係で、合計値とずれが生じています。

◆サイバーレジリエンスへの注目度は規模が大きい企業ほど高い

近年、「サイバーレジリエンス」が注目を集めています。サイバーレジリエンスとは、サイバー攻撃に対する組織の対応力と回復力を指し、有事の際にもビジネスの継続性を維持して被害の影響を最小限に抑える能力を指します。今回の調査では、サイバーレジリエンスの理解度やその実践状況について尋ねました。「サイバーレジリエンスを理解している」と回答した日本企業の割合は全体では24.7%でしたが、そのうち従業員規模が1万人以上の企業では、80.0%を占めました（図5）。規模が大きい企業ほど、アタックサーフェス（攻撃対象領域）が広く、サプライチェーンリスクへの関心が高まることから、サイバーレジリエンスへの注目も高くなっている点が考えられます。

「サイバーレジリエンスを理解し、実践している」と回答した企業に対して、具体的な取り組み内容を尋ねたところ、「訓練、教育の実施」（71.2%）、「技術的対策の強化（検知、対応、復旧）」（61.0%）が上位に挙がりました（図6）。訓練や教育は従来多くの企業で実施されてきたため、最も多い回答を得ましたが、サイバー攻撃の検知、対応、復旧にかかる技術的対策を強化するという選択肢が二番目に多かった背景には、サイバー攻撃から守る対策だけではなく、攻撃の検知と対応および自社で被害が発生した際の復旧に至るまでが、事業活動の継続において重要視されていることが推測されます。

図5：サイバーレジリエンスを理解・実践している日本企業の割合

Q.「サイバーレジリエンスについて、以下の中から、最もよくあてはまるものを1つお選びください。」

図6：サイバーレジリエンスの実践に向けた取り組み

Q.「サイバーレジリエンス実践の取り組みについて、以下の中からあてはまるものをすべてお選びください。」（「サイバーレジリエンスを理解し、実践している」と回答した日本企業のみ(n=59)、複数回答）

◆IT関連予算に占めるセキュリティ関連予算の割合が増加

IT関連予算のうちセキュリティ関連予算が占める割合についても尋ねました。その結果、2023年度の調査では10%以上を占めると回答した日本企業は全体の22.3%だったのに対して、2024年度の調査では29.8%と7.5ポイント増加しました（図7）。背景には、多発するランサムウェア攻撃への対策などで、セキュリティ施策に投資する動きが拡大していることが影響していると考えられます。

図7：IT関連予算に占めるセキュリティ関連予算の割合

Q.「IT関連予算に対する情報セキュリティ関連予算の割合は、どの程度を見込んでいますか。以下の中から、最もよくあてはまるものを1つお選びください。」

※各選択肢の小数点以下の値の四捨五入の関係で、合計値とずれが生じています。

今回の調査では、ゼロトラストセキュリティの実装要否を決めた企業が増えていることに加えて、規模の大きい企業ほどサイバーレジリエンスへの注目度が高いことが明らかになりました。背景には、企業の関心がサイバー攻撃からの防御にとどまらず、攻撃を受けた際の復旧までを視野に入れた、組織としての対応力を志向してきていることがうかがえます。昨今のサプライチェーン統制の広がりにより、セキュリティ対策の強化が企業規模を問わず求められるようになる中、サイバーレジリエンスについても、今後理解や取り組みが進んでいくとNRIセキュアでは考えています。また、DX推進と生成AIの活用に伴う新たなセキュリティリスクが登場し、社会的に注目を集めるセキュリティインシデントも増加していることを踏まえると、IT関連予算の中でセキュリティ関連予算が占める割合は、今後も増加する可能性が高いと予測しています。

「企業における情報セキュリティ実態調査2024」の詳細なレポートは、次のWebサイトから入手できます。

https://www.nri-secure.co.jp/download/insight2024-report

NRIセキュアは、今回の調査結果を踏まえ、今後も企業・組織の情報セキュリティ対策を支援し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] ゼロトラストセキュリティ：社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずに検証することで、情報資産への脅威を防ぐという、サイバーセキュリティの考え方です。

【ご参考】

◆調査概要

※単一回答のパーセンテージについては、小数点以下の値の切り上げ・切り捨てにより、各選択肢の回答割合の合計値が100％にならない場合があります。