米・豪と比較して偽装メール対策・生成AIサービスの利用に関するセキュリティに遅れ|企業における情報セキュリティ実態調査2023
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:建脇俊一、以下:NRIセキュア)は、2023年8月から9月にかけて、日本、アメリカ、オーストラリアの企業計2783社を対象に、情報セキュリティに関する実態調査を実施。この調査は、2002年度から実施しており、今回で21回目となる。
レポート詳細はこちら
日本企業での生成AIサービスの導入率は約2割にとどまる
本調査において、生成AIサービスの導入状況について、セキュリティルールを「整備の上、導入済み」または「整備していないが導入済み」と回答した割合は、日本では合計18.0%となった(従業員1万人以上の日本企業では50%)。同じ選択肢で比較した結果、アメリカは73.5%、オーストラリアは66.2%と、いずれも日本と比べ生成AIサービスの導入率が高い。
また、日本においては、従業員規模を問わずおよそ1割の企業が「利用禁止のため未導入」と回答しているが、アメリカ(0.9%)オーストラリア(2.0%)と比べ割合が高く、生成AIサービスの導入に対する日本企業の慎重な姿勢がうかがえる。さらに、従業員数が1000人未満の企業では「不要のため未導入」という回答が半数近くを占めており、生成AIサービスの必要性を感じていない日本企業が多く存在する傾向が見受けられた。
生成AIサービスの利用に関するセキュリティルール
続いて本調査では、生成AIサービスの利用に関するセキュリティルールを「整備の上、導入済み」「整備の上、導入予定」と回答した企業に対して、どのようなルールを整備または整備予定かについて複数回答で尋ねた。日本では「機密情報を入力してはいけないルールを定めている(59.2%)」が最多で、アメリカ(38.4%)オーストラリア(31.6%)を上回る結果となった。一方、アメリカでは「利用時の承認プロセスを整備している(61.6%)」オーストラリアでは「定期的に利用しているサービスを確認している(51.0%)」がそれぞれ最多に。
偽装メール対策「DMARC」実施率、米・豪では日本の約8倍
DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メールの送信元ドメインをもとに、正規に送信されたメールであるかどうかを認証する技術のことで、自社ドメインを偽装した悪意のあるメールから受信者を保護することを目的として、全世界で採用が進んでいる。
本調査では、DMARC実施段階を「Reject(拒否)/Quarantine(検疫)/None(何もしない)」の3つに分類した上で「DMARCの実施・検討状況」について尋ねている。その結果、いずれかの形でDMARCを「実施済み」と回答した企業は、日本13.0%、アメリカ81.8%、オーストラリア89.4%で、日本企業のDMARC実施度合いが大幅に低い状況にあることが明らかになった。
企業のDMARC実施割合が高い米・豪においては、政府主導でDMARCの実施が推進されている。日本でも、2023年2月に経済産業省、警察庁および総務省がクレジットカード会社に対して、DMARC実施を要請(※1)したほか、同年7月には「政府機関等のサイバーセキュリティ対策のための統一基準群(※2)」において、偽装メール対策としてDMARCが明記された。さらに、2023年11月にGoogleから発表された「メール送信者のガイドライン」では、メール送信を行う事業者に対してDMARC対応を求めるなど、今後日本でもDMARC実施が進むとみられている。
※1 経済産業省「クレジットカード会社等に対するフィッシング対策の強化を要請しました」
※2 サイバーセキュリティ戦略本部「政府機関等のサイバーセキュリティ対策のための統一基準群」令和5年度版
特定社会基盤事業者に限らず、日本企業の約4割がセキュリティ強化を意識
さらに本調査では、2022年に成立した経済安全保障推進法(※3)に関連して、サイバー分野を含むセキュリティの強化を意識しているかどうかを日本企業に尋ねた。その結果「強く意識している」「意識している」と回答した割合は、全体の39.6%となっている。
そのうち、国民生活や経済活動の基盤となるサービスを提供する「特定社会基盤事業者」に指定された企業に絞ると、88.2%の企業(17社中15社)がセキュリティ強化を「強く意識している」「意識している」と答えている。
※3 内閣府経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)(令和4年法律第43号)
調査概要
まとめ
本調査結果からは、日本ではアメリカ・オーストラリアに比べて、偽装メール対策・生成AIサービスの利用に関するセキュリティが遅れている現状が明らかとなった。NRIセキュアは本調査結果に対して「今後普及が見込まれる生成AIサービスの利用においては、ユーザの判断に頼ったルールを整備するだけでなく、監視・統制システムなどの仕組みを用いて利用環境を整えることも重要です」とコメントしている。改めて社内のセキュリティ体制を見直すきっかけとしていただきたい。