DX推進における法人組織のセキュリティ動向調査を発表

~DXを推進する担当者の3割がサイバーセキュリティインシデントを経験、プラスセキュリティ人材が十分にいる組織は2割以下~

2021年11月30日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、国内の民間企業および官公庁、自治体においてDXを推進する担当者315名を対象とした「DX推進における法人組織のセキュリティ動向調査」の結果を発表したことをお知らせします。

近年、日本においては国を挙げたDX推進が取り組まれており、製品やサービス、業務そのものや組織体制に至るまで、ビジネスにおける様々な要素において、データとデジタル技術の活用が進んでいます。一方で、サイバーセキュリティ対策が伴わないDX推進によって、外部からの不正アクセスや情報漏洩によりサービスそのものが停止してしまう事例が発生しています。今回の調査においては、DXを推進する担当者の35.2%がサイバーセキュリティインシデントを経験していることが明らかとなりました。また、DX推進など法人組織がITを利活用する際にサイバーセキュリティの観点からリスクマネジメントやセキュリティ対策を実施する人材である「プラスセキュリティ人材」が十分にいる組織は14.3%に留まっていることがわかりました。本調査の結果は以下の通りです※1
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。調査対象の組織は重複している可能性があります。

調査の詳細はこちら

1. DX推進担当者のうち、“デジタルトランスフォーメーション”に取り組めているのは24.8%
組織におけるデジタル化の取り組みは「デジタイゼーション」「デジタライゼーション」「デジタルトランスフォーメーション」3つのフェーズに分けることができます(表1)。本調査においてDX推進の取り組み状況(図1)を聞いたところ、本来のDXが意味する“デジタル技術の浸透により人々の考え方・慣習・常識が変化する”「デジタルトランスフォーメーション(DX)」に取り組めているのは24.8%と約4分の1に留まりました。DX推進と一口に言っても、アナログで行われていたタスクがデジタルに置き換わる「デジタイゼーション」や、デジタル技術の活用に合わせてビジネスプロセスやポリシーを変更する「デジタライゼーション」が多く、国内の多くの法人組織は、真の意味でのDX推進ができていない状況が伺えます。

また、デジタル化のフェーズ毎に自社におけるDX推進の成功状況(図2)を聞いたところ、フェーズが進むにつれて成功率は低くなり、デジタルトランスフォーメーションに取り組んでいる担当者においては「成功している」と回答した割合が半分に満たない状況となっています。法人組織がDXを成功させるには、適切な人材配置、リスク管理、予算策定など、経営層や事業統括責任者がDX推進のフェーズにあわせて明確な方針を打ち立てていくことが求められます。

●表1:デジタル化のフェーズ

デジタル化の
フェーズ
一般的な呼称 説明
フェーズ1 デジタイゼーション アナログで行われていたタスクがデジタルに置き換わる(紙のデータ化など)
フェーズ2 デジタライゼーション デジタイゼーションに加えて、デジタル技術の活用に合わせてビジネスプロセスやポリシーを変更すること
フェーズ3 デジタルトランス
フォーメーション(DX)
デジタライゼーションに加えて、デジタル技術の浸透により人々の考え方・慣習・常識が変化すること

●図1:自社のDX推進において、最も近いものはどれですか。(単一回答)(n=315)

 

●図2:自社のDX推進は成功していると思いますか。あなたが最も関わりが深い自社のDX推進についてお答えください。(単一回答)(n=315)

 

2. DXを推進する担当者のうち35.2%がサイバーセキュリティインシデントを経験
DXを推進する担当者のうち35.2%がサイバーセキュリティインシデントを経験していることがわかりました(図3)。インシデントの被害内容は「情報漏えい」に関するものが比較的高く、DXを推進する上で、新たなシステムを導入した際にデータの保護が徹底できていないことが伺えます。

また「業務提携先に関する情報の漏えい」が36.0%とインシデントの中で最多となっています(図4)。業務提携先に関する情報の漏えいは、サプライチェーン先にも影響を及ぼす深刻なインシデントであり、特にビジネスインパクトが大きいものです。DX推進を取り組むにあたり、取り扱うシステムやビジネスフローのどこにリスクが存在するのか、そのリスクに対してどのような対策を講じるのかを検討することが重要です。

●図3:DX推進のために活用したシステムにおいて、何かしらのサイバーセキュリティインシデントは発生しましたか。(単一回答)(n=315)

 

●図4:セキュリティインシデントによって、どのような被害がもたらされましたか。(複数回答)(n=111)

 

3. 9割以上がDX推進におけるサイバーセキュリティ対策を懸念
自社のDX推進におけるサイバーセキュリティ対策について懸念があるかを聞いたところ「懸念がない」の回答は5.6%に留まり、94.4%の組織で何かしらの懸念があることがわかりました。「セキュリティ戦略の策定」が30.6%、「セキュリティポリシーの策定」が28.1%と、組織のセキュリティ対策の軸である戦略やポリシーの策定に懸念を持っていることが伺えます(図5)。

実際の対策状況をみてみると「セキュリティ戦略の策定」は41.3%、「セキュリティポリシーの策定」は37.5%に留まっており、組織のサイバーセキュリティ対策を講じる上で最も重要となる戦略やポリシーの策定ができていない法人組織が多いことがわかりました(図6)。

また、DXを成功させるためには、DX推進を行う目的や、自社の事業構造を理解した上で、セキュリティ戦略やポリシーと結び付け、どのように現場に落とし込んでいくかを検討していく必要があります。日本の法人組織においては、このようにDX推進を行う上で、自社の事業構造やビジネスを理解しながらセキュリティ対策を実践できる人材であるプラスセキュリティ人材の必要性が高まっています。

●図5:自社のDX推進におけるサイバーセキュリティ対策について懸念はありますか。あなたが最も関わりが深い自社のDX推進について、あてはまるものを全て選択してください。(複数回答)(n=315)

 

●図6:自社が新たなDX推進を行うにあたり、以下のサイバーセキュリティ対策を行いましたか。その中でもあなたが最も関わりが深い自社のDX推進について、あてはまるものをすべて選択してください。(複数回答)(n=315)

 

4. プラスセキュリティ人材が十分にいる組織はわずか14.3%
組織におけるプラスセキュリティ人材の存在について伺ったところ「人材は十分にいる」と回答した割合は14.3%に留まりました。大多数の組織においてプラスセキュリティ人材が不足している深刻な状況であることが明らかになりました。

セキュリティにおける人材不足は、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)などセキュリティ専門人材に目が向けられがちですが、今回の調査では、DX推進の現場において、プラスセキュリティ人材が大きく不足していることがわかりました。DXに取り組む組織は、プラスセキュリティ人材の重要性を認識するとともに、採用や育成に力を入れていくことが求められています。

●図7:DX推進にはサイバーセキュリティの要素が不可欠です。自社にサイバーセキュリティを踏まえてDX推進ができる人材(プラスセキュリティ人材)はいると思いますか。(単一回答)(n=315)

 

 

 

  • 本リリースは、2021年11月30日現在の情報をもとに作成されたものです。
  • TREND MICRO、およびSecuring Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。