企業の情報セキュリティ対策が向上、資産分類や事業継続に課題も

IPAは2008〜2009年の「情報セキュリティ対策ベンチマーク」の分析結果を公開した。

» 2010年06月29日 15時47分 公開
[國谷武史,ITmedia]

 情報処理推進機構(IPA)は6月29日、企業の情報セキュリティ対策の実施状況を診断できる「情報セキュリティ対策ベンチマーク」の分析結果を公開した。全体的に対策の向上が図られたが、中小企業では資産分類や事業継続に課題が残されていることが分かった。

 情報セキュリティ対策ベンチマークは、情報セキュリティ対策に関する25項目と企業プロフィールに関する15項目に答えることで、自組織におけるセキュリティ対策がどのレベルにあるかを診断できる。ISMS認証基準付属書Aの管理策をベースに作成しており、2005年8月の開始からのべ2万件の利用がある。今回公開した分析結果は、2008〜2009年に診断を行ってIPAにデータを提供した1540件(300人超の大企業632件、300人以下の中小企業908件)を基にしている。

 トータルスコア(満点125点)の平均は、大企業が84.03点、中小企業が76.07点だった。前回(2007〜2008年)に比べると大企業は3.35点、中小企業は3.49点向上し、企業規模を問わずセキュリティ対策の向上が確認された。1項目の平均(5満点で3点は「実施するも、状況確認をしていない」という評価)は大企業が3.36点、中小企業が3.04点だった。大企業の方がセキュリティ対策の実施レベルが高い状況であった。

大企業と中小企業の分散比較

 2009年の中小企業の対策状況は、2006年に比べて「従業員との契約」「第三者アクセス」「建物などのセキュリティ」の項目で向上が見られた。一方、「不正プログラム対策」「脆弱性対策」「資産分類」の項目では大きな向上は見られなかった。

 IPAによれば、不正プログラム対策と脆弱性対策は既に対策が進んでいるために大きな変化がないものの、資産分類(情報資産分類とラベル付け)は中小企業で取り組むのが難しい対策項目という。また、全項目の中で「事業継続」が最も低いスコアとなっており、中小企業のセキュリティ対策では資産分類と事業継続が課題だと分析している。

中小企業における経年変化

 IPAは今回のデータを情報セキュリティ対策ベンチマークの指標として採用し、新たにバージョン3.3としてWebサイトで公開している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ