NRIセキュアテクノロジーズ株式会社(NRIセキュア)は1月25日、日本、アメリカ、オーストラリア3カ国を対象とした「企業における情報セキュリティ実態調査2023」の結果を発表した。同調査は2022年度から実施されており、今回で21回目となる。
同調査は2023年8月1日~9月29日(日本)および同年9月8日~9月29日(アメリカ、オーストラリア)にかけてWebアンケートにより実施されたもので、回答企業数は日本が1,657社、アメリカが540社、オーストラリアが586社となっている。
発表では、「生成AIサービスの導入状況」「生成AIサービスの利用に関するセキュリティルール」「DMARCの実施率」「経済安全保障推進法を受けてのセキュリティ強化の意識」を取り上げている。なお、レポートの詳細版は同社サイトから入手できる。
生成AIサービスの導入状況について「導入済み」と回答した割合は、日本は18%(従業員1万人以上の企業では50%)であり、73.5%のアメリカ、66.2%のオーストラリアより低い数値となった。
セキュリティルールを整備した上で導入済みの割合は、日本10.5%、アメリカ41.1%、オーストラリア25.9%となっている。また、日本の企業で生成AIを「不要のため未導入」と回答した割合は、従業員1千人未満で47.2%と高い割合を占めた(1千人~1万人:27.4%、1万人以上:13.6%)。
生成AIサービスの利用に関するセキュリティルールについて国ごとに見ると、日本は「機密情報を入力してはいけないルールを定めている」が59.2%で最も高かった(アメリカ38.4%、オーストラリア31.6%)。
アメリカでは「利用時の承認プロセスを整備している」が61.6%で最も高く(日本21.6%、オーストラリア36.4%)、オーストラリアでは「定期的に利用しているサービスを確認している」が51.0%で最も高かった(日本6.7%、アメリカ55.9%)。
DMARCの実施率は、オーストラリア(89.4%)とアメリカ(81.8%)に対し日本は非常に低い(13.0%)結果となった。DMARCのポリシーについては、「Reject(DMARC認証に失敗したメールを拒否)」で実施している割合はアメリカ、オーストラリアが約1/4であるのに対し、日本は3.0%であった。
アメリカ、オーストラリアは以前から政府主導でDMARCの実施が推進されていたため実施率が高いと考えられるが、日本においても政府をはじめ多くの業界でDMARCが実施を推進されており、さらにGoogleのメール送信者ガイドラインの改定によって、今後は実施が進むとしている。
2022年に日本で成立した経済安全保障推進法に関連して、サイバー分野を含むセキュリティの強化を意識しているかどうかを日本企業に尋ねた結果では、「強く意識している」「意識している」と回答した割合は、全体の39.6%となった。
このうち、国民生活や経済活動の基盤となるサービスを提供する「特定社会基盤事業者」に指定された企業に絞ると、88.2%の企業(17社中15社)がセキュリティ強化を「強く意識している」「意識している」と答えている。
