日本企業は情報セキュリティ対策が総じて不十分――監査法人が調査

情報セキュリティへの投資意欲は低く、対策レベルも海外に比べると低いことが分かった。

[ITmedia]

　新日本有限責任監査法人は1月25日、Ernst & Youngが実施している企業の情報セキュリティに関する最新調査の結果を発表した。世界64カ国の主要産業1836社と日本の201社の差異などをまとめている。

　それによると、まず企業利用の進むソーシャルメディアの管理について、「特になし」と回答した日本の企業は約48％に上った。海外の平均は約20％で、ソーシャルメディアに関する管理が進んでいない実態が分かったという。また、年次での脆弱性テスト（攻撃や侵入）の実施状況では日本の約55％（海外は約19％）が「実施していない」と回答。「年間1〜9回」と回答した企業は海外が約56％、日本企業が約30％だった。

脆弱性テストの実施状況（出典：新日本有限責任監査法人）

　今後12カ月の情報セキュリティ予算計画については、日本企業の約36％、海外の約51％が「5％〜25％以上増加させる計画」と答えた。「前年とほぼ同様」と回答した企業は、日本では約62％、グローバルでは約44％だった。セキュリティの評価では日本は、60％以上の企業が「社内組織による自己評価」と答え、外部機関による評価は約21％（海外は約56％）となった。

　セキュリティ新技術（クラウド、仮想化、モバイルなど）や事業継続に対する投資に関しては、約49％の日本企業がともに支出を増加させるとし、海外でも約55％が「セキュリティの新技術」、約47％が「事業継続／緊急時復旧計画」での投資を増やすと回答した。

　タブレットコンピュータは、日本企業の約37％が利用しており、昨年度の約7.3％から急増。海外では2011年度が約14.3％、2012年度が約32％で、日本企業での利用ペースが海外を上回った。

　クラウドについては、約56％の日本企業がパブリック、プライベート、ハイブリッドのいずれかを利用しており、海外（約52％）とほぼ同等だった。だが、クラウドサービスの管理では「リスク低減のための管理を実施していない」と答えた企業が日本で約49％、海外で約38％となり、日本企業の取り組みが十分ではない状況が明らかになったとしている。

　情報セキュリティの組織が報告する相手は、日本企業の約18％、海外の約5％が「CEO」と答えた。「CIO」との回答は日本企業で約50％、海外で約43％だった。取締役会での報告の頻度では「年に1度か、ほとんど無い」という回答が海外では約40％、日本では約51％に上っていた。