ニュース
» 2015年11月09日 12時02分 UPDATE

日本のセキュリティはISO27001偏重 脅威情報の活用に遅れ

世界的にはサイバー攻撃などの脅威情報を積極的に活用しているが、日本は平時のマネジメントシステムに重きを置いている実態があるという。

[國谷武史,ITmedia]

 標的型攻撃などの危険性が高まる中、世界的には企業のセキュリティ対策フレームワークで脅威情報の共有やインシデント対応などが採用される一方、国内企業では平時のマネジメントを重視するISO27001に偏重しているという。プライスウォーターハウスクーパース(PwC)が発表した「グローバル情報セキュリティ調査2016」で明らかになった。

 それによると、企業が採用するセキュリティのフレームワークに関して、グローバルおよび国内ともISO27001の採用が最も多い。しかし、例えばインシデント対応を重視する米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークの採用率はグローバルの35%に対し、国内は9%。米セキュリティ機関SANS Instituteの「Twenty Critical Security Controls for Effective Cyber Defense」の採用率もグローバルでは28%に対し、国内は9%だった。

pwc0101.jpg セキュリティフレームワークの採用状況(PwCより)

 脅威などに関する情報を他の組織と共有しているかについては、グローバルでは64.7%に上る一方、国内では30.4%。共有していない日本企業の約4割はその理由に、情報共有の枠組みの整備や標準化の遅れを挙げている。

pwc0102.jpg 外部組織との情報共有の状況(同)

 また過去1年に経験したインシデントによるダウンタイムの長さを、ベンダーなどが提供する脅威情報サービス、セキュリティ関連ログなど分析する「SIEM」、インデント対応プロセスのそれぞれの有無で比較した結果、いずれも「あり」とした組織では「なし」とした組織よりも短いことが分かった。

pwc0103.jpg インシデントによるダウンタイムとセキュリティインテリジェンスの有無の違い(同)

 特に脅威情報サービスを導入している組織のダウンタイムは、未導入の組織の半分以下だった。ただ、SIEMやインデント対応プロセスの有無では「あり」とした組織でのダウンタイムが短い傾向にあるものの、脅威情報サービスほどの大きな差にはならなかったとしている。

 PwCは日本企業に対し、インシデント発生を全体にその対応を推進させるセキュリティフレームワークの採用と、脅威に関する情報の外部組織との共有や提供サービスの利用を積極的に行うべきとアドバイスしている。

 調査は5月7日から6月12日にかけて世界127カ国の1万人以上のCEOやCFO、CIO、セキュリティ最高責任者(CISO)、IT担当幹部らにアンケートした。国内からは286人が回答している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ