| エンタープライズ:ニュース | 2003/11/21 20:40:00 更新 |
今年度の企業のセキュリティ予算、全体平均は400万円――NTT Comが調査
NTTコミュニケーションズは11月21日、「情報セキュリティに関する個人および企業の意識実態調査」の結果をまとめ、公開した。
企業として情報セキュリティポリシーを制定しているのは全体の3割。一方で、情報セキュリティに関して特に担当部署はないとする企業は42.1%に上っている――NTTコミュニケーションズ(NTT Com)がまとめた「情報セキュリティに関する個人および企業の意識実態調査」からは、こんな現状が明らかになった。
NTT Comは11月21日、今年8月20日から29日にかけて行った情報セキュリティに関する個人および企業の意識実態調査の結果をまとめ、要約を公開した。この調査はWebサイト上で行われたもので、企業調査については、経営者・役員、現場の情報セキュリティ担当者などから1331件の回答が得られたという。
この調査が行われた8月は、ちょうどMSBlastやNachiといったワームが猛威を振るった時期と重なっている。それが影響しているかどうかは不明だが、回答者の62.4%が「ウイルス・ワーム感染」といったトラブルを経験しているという。
一方で、「充分」「まあ充分」な程度に施されている情報セキュリティ対策を見ると、ウイルス対策ソフトは79.8%、ファイアウォールは67.1%。これら2つの対策についてはかなりの程度浸透してきたといえそうだ。しかし、前述のワームが感染を広める根本原因である「セキュリティパッチ(の適用)」については、比率がやや下がり54.7%になっている。
現場と経営層、互いの評価は乖離
何よりも情報セキュリティ対策の基本となるのが、セキュリティポリシーだ。だがポリシーを定めていると回答したのは31.3%。作成中もしくは検討中としたのは43.7%で、残る16.8%については「予定がない」という。
また、情報セキュリティ担当役員を置いているとした企業は35.5%。情報システム部門が担当する場合も含め、情報セキュリティに関する担当部署を決めているのは55.6%という結果だ。なお残念ながら、これらセキュリティポリシーが「適切に運用されているか」「定期的に見直されているか」といった項目は設問にはなかったようだ。
ただ、情報セキュリティポリシーがあったとして、社員がその重要性を認識し、セキュリティを意識しながら業務を行っているかどうかについては、若干参考になる設問がある。これは企業向け調査ではなく個人向け調査(別記事参照)での質問だが、回答者の38.8%は、勤務先で「ID・パスワードを手書きメモに記録」したことがあり、36.8%は「パスワードをOSやブラウザに記憶」させたことがあったという。この結果からは、セキュリティ上リスクを負いかねない行為が、企業内で厳として行われていることが伺える。
さらに、比率こそ少ないものの、「同僚にID・パスワードを教えた」「関係ないデータを社内LAN上で覗いた」と回答したユーザーが1割を超えた。「重要書類やデータを社外に持ち出した」という回答者も3.1%存在している。
この調査結果からは、もう1つ興味深い事実が見える。経営層も現場(情報システム部門)担当者も、各々自分の情報セキュリティに対する関心は「高い」としながら、相手の評価となるととたんに低くなっていることだ。現場は「経営層はセキュリティのことをわかっていない」とし、一方経営層は経営層で「現場の関心はまだまだ低い」と考えている、やや不幸な状況が透けて見える。ちなみに、一般社員のセキュリティに関する意識となると、上記の「リスキーな行為」を裏付けるように、現場担当者の58.4%、経営層の31.5%が「低い」と評価している。
予算は業種によって大きなばらつき
現場担当者が常に頭を悩ませている事柄の1つが、必要とされるセキュリティ対策と「予算」とのギャップだろう。この調査では、情報セキュリティ予算額についても質問を行っている。
この結果、今年度のセキュリティ予算は全体平均で441万8000円。しかし業種ごとに見ていくと大きなばらつきがあり、興味深い。最も多くの予算を割いているのは金融業界で、平均して2832万円に上る。また運輸・エネルギー業界でも1141万円と、比較的潤沢な予算が確保されているようだ。これらに続いて多額の予算を確保しているのは政府・官公庁・団体となっており、889万円という。この結果はそのまま、セキュリティポリシーの制定率や担当役員、担当部署設置率にも反映されており、特に金融および政府・官公庁・団体での達成率は高い。
逆に予算が少ないのは、商社・卸・小売や建設/不動産、サービス業といった業種で、いずれも200万をやや上回る額だ。何より面白いのが、情報セキュリティを担うはずのIT系企業の予算が全体平均よりも下回っている点で、392万円という結果になっている。
そして最も憂慮すべきは病院・学校・研究機関で、平均予算額はわずか121万円。非常にセンシティブな情報を扱うはずのこうした機関において潤沢な予算が確保されておらず、セキュリティポリシーの制定率も4分の1程度という現状には、危機感を抱かざるを得ない。
関連記事
ガートナーが説明する「情報セキュリティ・アーキテクチャ」が必要な理由関連リンク
NTTコミュニケーションズ[ITmedia]
