情報セキュリティの取り組みは難しい――IBMが社内実践することとは?

企業のリスク管理の一環として情報セキュリティの重要性が高まっているものの、多くの課題に直面する企業が少なくないという。IBMが欧米や日本の企業に行った調査の結果と同社の社内での取り組みを公開した。

» 2013年11月06日 17時08分 公開
[國谷武史,ITmedia]

 日本IBMは11月6日、企業の情報セキュリティに対する意識調査の結果とIBM社内における取り組み事例について公開した。企業ではリスク管理の一環として情報セキュリティの重要性が高まっているものの、日常的な取り組みや評価などにおいて多くの課題を抱えていることが分かった。

 IBMは10月に米英独日の4カ国で企業の情報セキュリティ責任者41人にアンケート調査を行った。

 それによると、まず技術的な対策に関しては、重視するものに「IDとアクセス管理」(51%)や「ネットワーク侵入防止」「ネットワーク脆弱性スキャン」(ともに39%)といった基本的な対策を挙げる回答が目立った。先進的なマルウェア検出やログ分析などから脅威を可視化する「セキュリティインテリジェンス」といった高度な対策技術には、関心を持ちながらも重要性は低い傾向にあったという。

セキュリティ技術に対する優先度

 また、重視するものとして4番手になった「モバイルセキュリティ」(37%)が注目されるとした。モバイルはワークスタイル変革による生産性向上のためのツールとして企業の関心が高く、情報セキュリティの観点でも着目する企業が少なくないという。ただ、現状の投資優先度としては運用管理や資産管理が高く、機器の盗難・紛失などによる情報漏えいリスクを懸念しながらも、セキュリティ対策に戦略的に取り組むとした企業は29%と、それほど多くない状況にあった。

 さらに、個人のモバイル機器を業務に使ういわゆる「BYOD(Bring Your Own Device)」に関しては、最も優先度が高いと答えた企業が10%にとどまった。モバイルセキュリティを導入している企業の中で、BYOD機器のポリシーを策定していたり、戦略的に取り組んだりしているという企業は4割未満だった。

 一方、情報セキュリティへの取り組みに対する評価では63%が、「要請がない」「リソースが足りない」「計算が複雑」といった理由で財務視点による指標を用意していないことが分かった。評価指標を持つ企業では32%が次年度の予算編成などに使用し、27%が対策計画の策定に使用していた。また、自然災害などによる事業停止といったビジネスリスクと情報セキュリティのリスクを結び付けて管理しているという企業は44%だった。

 こうした結果から、情報セキュリティは企業が実践すべきリスク管理のテーマとしては取り組みが不十分であることが分かった。対策面でも基本的な技術が優先され、モバイルのような新たな課題に重要性を感じながらも、実際の対応はあまり進んでいない傾向にあった。

 日本IBMで「CISO(最高情報セキュリティ責任者)」を務めるグローバル・テクノロジー・サービス事業 ITSデリバリー ユーザー&コミュニケーション サービス担当 理事の我妻三佳氏によれば、同社では1980年代からリスク管理に取り組み、近年はIBM全社での取り組みに昇華させている。ここでは「リスクマップ」というリスクを可視化するための方法が役立っているという。

 リスクマップは「事業への影響度」と「発生頻度」の2つの軸によるマトリックスになっており、その中を「Tier 1:事業計画に大きく影響し、全社でリスクを最小化するもの」「Tier 2:複数の業務プロセスでリスクを最小化するもの」「Tier 3:すぐに実行可能な対策により、業務プロセスでリスクを最小化するもの」の3つに分けている。個々のリスク要因をこの3つの領域に落とし込んでリスク全体を可視化する。

 リスクを可視化していく過程では、まず部門などのレベルで事業領域と業務領域の2つの軸から個々のリスクやその影響、対応を洗い出し、それらを各国法人レベルに取りまとめる。さらに、各国の法人でまとめたリスクをIBM全体としてまとめ、これを次年度の事業計画にも反映させる。

 この取り組みを毎年行われているという。リスクやその影響などは常に状況が変化するためであり、例えば日本IBMでも、首都圏直下型地震とサイバー攻撃をTier 3からTier 1に分類し直している。首都圏直下型地震は2011年の東日本大震災で発生確率が高まったこと、サイバー攻撃は機密情報の盗難による事業への影響度が増していることが背景にあるためだ。

日本IBMでのリスクマップにおける管理の変化

 同社での取り組みにみられるように、情報セキュリティは企業のリスク管理全体の中で対応していく必要性が高まっている。しかしながら、そうした意識は自然災害や経済環境などによるリスクに比べると、まだ意識があまり浸透していない現状もあるという。

 我妻氏によれば、冒頭の調査では回答者の中で「CISO」という情報セキュリティに対して明確な責任を持つ立場にあるのは4割ほどであり、残りはIT担当役員やIT部門の部門長もしくは管理者であった。CISOの活動としては、日々の情報セキュリティの向上に向けた啓発だけでなく、企業によっては情報漏えいなど万一の際に全社横断での対応における調整役などを担うこともある。

 我妻氏は、CISOという立場や役割について権限などを含めた環境整備が企業にとって重要になるだろうと提起している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ