ニュース
» 2009年08月24日 09時00分 UPDATE

経産省調査にみる情報セキュリティ対策の今:セキュリティ基準の必要性は低い傾向に、自前対策を推進する企業

経済産業省の2008年の情報セキュリティガバナンス実態調査では、国内企業が抱えるセキュリティ対策への取り組みが明らかになった。今回はセキュリティ基準や対策、事業継続性などの現状を紹介する。

[ITmedia]

 経済産業省がこのほど公開した「情報セキュリティガバナンス実態調査2008 調査報告書」では、企業の情報セキュリティ対策に関する実情が明らかになった。今回は、セキュリティ関連基準に対する取り組みや対策の内容、事業継続性計画(BCP)の状況を紹介する。(前回記事はこちら

 この調査は、三菱総合研究所が経済産業省から委託を受け、日本情報システム・ユーザー協会(JUAS)が会員企業のIT部門を対象に2008年12月に実施した。729社から得た有効回答を集計した。

7割強が「必要なし」

 まず、情報セキュリティ関連の認証や評価制度として「ISMS」「プライバシーマーク」「情報セキュリティ監査」の取り組み状況では、いずれの基準や制度に対しても7割近くが「取得の必要なし」と回答した(表1)。

juassecurity11.jpg 表1:本社およびグループ会社の情報セキュリティ関連の認証や評価の取り組み状況

 その理由として、4割以上が「必要性を感じていない」と答え、「効果が明確でない」が続いた。プライバシーマークに対しては「対象とする業務が少ない」との回答が多く、ISMSに対しては「レベルが高すぎる」「費用がかかりすぎる」といった回答が目立つ結果となった(表2)。

juassecurity12.jpg 表2:取得に関する理由1

 取得に前向きな理由では、「企業の付加価値を高めるから」や「業務の必要性から」が多数を占めた。プライバシーマークに対しては、特に業務の必要性からグループ企業が積極的に取り組む傾向にあることが分かった。情報セキュリティ監査では、本社およびグループ企業とも事故の発生を抑止する目的で積極的あることがうかがえる(表3)。

juassecurity13.jpg 表3:取得に関する理由2

 具体的な対策の傾向では、社外でのPCを利用した業務について「認めている」が23.1%、「持ち出し専用PCに限定して認めている」が46.8%となった。一方、「認めていない」は28.2%だった。

 PCの管理方法について(複数回答)は、「アクセス制限」が68.7%で最多を占めた。以下は、「ファイル暗号化」(39.8%)、「個人情報を含まない持ち出し用PCの準備」(35.6%)、「USBメモリなどの使用禁止」(28.5%)、「鎖をつけて持ち出せなくさせる」(19.6%)などだった。

 自社のセキュリティレベルを計測する際の参考や基準(上位2つまで)では、「Webや雑誌のアンケート結果」(40.2%)が多く、「公開事例」(31.3%)や「情報セキュリティ監査」(26.1%)、「コンサルティング会社の評価」(24.6%)も目立つ。「参考にするものが分からない」も26.7%に上った。

対策は自前で

 情報セキュリティ関連業務の外部への委託状況は、「ネットワークシステム設計・開発」が57.8%で最多を占めた。以下は、「ネットワークシステム運用」(38.6%)、「ウイルス対策、不正アクセス対策」(27.8%)、「ヘルプデスク」(23.6%)、「情報セキュリティ監査」(20.5%)などが続く。

 委託する理由では、「十分な技術を持った人材の不足」や「人材を配置して社内対応する余裕がない」といった人的リソースの不足を挙げた回答が目立っている。また、ネットワークシステム運用やウイルス対策、不正アクセス対策、ヘルプデスク、情報セキュリティ教育では「自社で行うより安価で実現可能なため」との回答も多い(表4)。

juassecurity14.jpg 表4:情報セキュリティ関係業務を外部委託する理由

 ネットワークシステム設計・開発やウイルス対策、不正アクセス対策では、「技術の進歩に対応できない」との回答も2割強に上った。

BCPは災害やセキュリティ事故を重視

 企業でBCPを担当する主な部門は、39.4%が「総務、法務部門」、37.4%が「IT部門」と回答した。BCPで想定するリスク(上位2つまで)は、「自然災害」が75.4%で最も多く、以下は「システム障害」(55.7%)、「社会インフラの停止」(33.3%)、「火災などでの操業停止」(19.5%)、「パンデミック対策」(13.8%)などだった。

 BCPが必要とされる背景では、「企業活動のIT依存の増大」(64.2%)や「自然災害リスク」(52.9%)が多く、「予測困難リスクが頻発」(32.8%)や「事業活動の変化」(20.1%)との回答も目立った。

 実施しているBCPの内容は、「情報漏えい、データ改ざんへの対応」が56.8%で最多を占め、「大規模システム障害への対応」が49.1%で続いた。このほか、「脆弱性対策などを含むセキュリティインシデントへの対応」(29.2%)や「社員などへの実地訓練、育成計画」(18.2%)、「ビジネスインパクトの分析」(15.7%)という回答も上がっている。

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -