ニュース
» 2013年01月09日 17時42分 UPDATE

情報セキュリティ対策の推進には「トップの関与を」

企業の情報セキュリティ実態を調査したNRIセキュアの最新レポートからは、リスクを意識しながらも人材や予算への投資に前向きではない現状が浮き彫りになった。

[國谷武史,ITmedia]

 NRIセキュアテクノロジーズは1月9日、「企業における情報セキュリティ実態調査2012報告書」を公開した。セキュリティ対策を担う人材や予算の不足、事業継続計画(BCP)の不備やモバイルデバイス活用などの課題が浮き彫りになったとしている。

 調査は上場企業などを対象に2002年から毎年実施しているもの。今回は2012年8月24日〜10月4日に3000社へ郵送でのアンケートを行い、741社から回答があった。

人材や予算は増えず

 まず、人材の充足状況では84%が「不足している」と回答。社外のセキュリティ会社やコンサルタントなどの活用では売上高5000億円以上の企業の31%が「増やす」としたが、全体の82%は「現状維持」と答えた。外部委託しても良いと考える業務では「外部からの不正侵入に関する監視」(70%)や「診断やリリース前のテスト」(65%)、「セキュリティ基盤の構築」(62%)が高い割合となった。

nrisec001.jpg 売上規模別 今後の社外人材活用方針

 海外拠点を持つ企業410社に国内外でのセキュリティ統制の実施状況を尋ねた質問には、82%が「国内で実施している」としたが、「海外で実施している」は37%だった。内訳は「ルールの作成」が国内87%・国外45%、「支部に対する本社の関与」が国内59%・国外27%、「モニタリングの実施」が国内100%・国外41%となっている。

 セキュリティ関連投資額の変化では2012年度の予算額を「現状維持」とする企業が69%を占め、前回調査から9ポイント増加した。「前年度より増加」という回答は売上高5000億円以上の企業で27%、同1000億円から5000億円未満の企業で24%、同1000億円未満の企業では18%だった。

nrisec002.jpg 年度別 セキュリティ投資額の変動見通し

BCPやモバイル活用の課題も

 調査では2011年の東日本大震災に伴うBCPや「IT-BCP(ITサービス継続計画)」の取り組みも尋ねた。BCPやIT-BCPの策定状況は、51%が「どちらも未策定」とし、「どちらも策定済み」(24%)を大きく上回った。

nrisec003.jpg BCP、IT-BCPの策定状況

 BCPやIT-BCPの必須項目である「重要業務・サービスの絞り込み」「目標復旧時間の設定」の実施状況は、どちらも実施している企業がBCPで69%、IT-BCPで73%だった。ともに約3割の企業ではいずれかの項目、もしくは、両項目とも実施していないなど内容に不備が認められた。

 IT-BCPはBCPに包含されるものといい、IT-BCPがBCPと整合性を取れているかについては、65%が「取っている」としたものの、21%は「取っていない」、11%が「分からない」と答えた。

 また、近年に企業で広がるスマートフォンやタブレットデバイス(通称:スマートデバイス)の活用は、53%が「積極的に業務導入する」と回答し、「検討中」も24%に上った。23%は「当面しない」とした。

 個人所有のデバイスを業務に利用する「BYOD(Bring Your Own Device)」の導入状況では「導入済み」が8%、「検討中」が18%だったものの、73%は「予定無し」と答えた。特に業種別では銀行・証券・保険の96%が「予定無し」と回答し、「導入済み」は0%(ゼロ件)。一方、通信・情報処理・メディアでは「導入済み」が22%に達し、他業種を大きく上回った。

nrisec004.jpg BYOD導入状況

 調査結果について同社セキュリティコンサルティング部の広瀬真一氏は、次のように提起している。

  1. 外部人材の有効活用と内部人材の育成のための人材確保計画が必要
  2. セキュリティリスクを評価し、事業への影響が大きなリスクに重点的に対策を行う
  3. 国際規格やクラウドなどを活用してBCPおよびIT-BCPの作成、見直し、継続的改善を実施する
  4. スマートデバイスのためのセキュリティルールや管理体制の整備、見直しが必要

 (1)では人材育成には時間を要することから、今後しばらくは人材の不足感が解消されないとみる。海外拠点でのセキュリティ強化も同様といい、社外人材の活用を含めた計画が重要だという。(2)では2012年に標的型サイバー攻撃が増加したことで企業の意識は高まったものの、円高不況など企業の業績が低迷する現状では対策費用の増加は見込めないと解説する。

 (3)では2012年5月に事業継続マネジメントシステムの国際規格「ISO 22301」が正式発行された。今後は、同規格やクラウドサービスを活用して実効性のあるBCPやBCP-ITの整備促進が期待されるという。(4)ではPCを前提としたセキュリティルールやポリシーを活用すべきとする専門家もいるが、MDM(モバイルデバイス管理)ツールなど、PCとは異なる対策手法を利用した独自のルールやポリシーが今後必要になるとアドバイスしている。

 広瀬氏は、「企業のセキュリティリスクが高まっているものの、対策が進まない現状が浮き彫りになった。先進的な企業では経営層が積極的に対策へ関与しているだけに、経営層の意識がポイントになる」と話す。だが現場担当者が数人だけという企業も多く、少ない人員でセキュリティ対策に取り組まざるを得ない現状に警鐘を鳴らしている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ