登坂氏は、日本では外部脅威の防御やコンプライアンスへの対応が優先され、ビジネスを阻害するリスクの洗い出しや評価、リスクを低減するために積極的にコントロールしていく取り組みが米国に比べて弱いと分析する。
一方、米国ではビジネスを拡大させるためにリスク管理が重視され、その観点で情報セキュリティに取り組んでいるという。この違いを5つの指標でみた場合、特に「組織/人材マネジメント」「セキュリティテクノロジー」の2つの指標において、日本と米国の間に顕著な差が生じているとのこと。
米国では企業全体でリスクを積極的に管理するために、情報セキュリティ責任者やセキュリティ担当幹部が必要とされ、こうした役職者を取締役レベルで設置して、強力な権限も与えている。役職者がリーダーシップを発揮し、セキュリティツールや技術を利用しながらセキュリティを担保することで、事業部門がビジネスに注力できる体制にしていくという考え方だ。
日本では米国に比べてリスク管理の必要性を低いとみる企業が多いためか、情報セキュリティの取り組みは「しなければならない」範囲にとどまっているという。こうしたことから、情報セキュリティのためのリソースは、米国では投資、日本ではコストとみなされる傾向にあるとしている。
調査結果からは「日本の情報セキュリティが未熟」と映るが、登坂氏は「ビジネスリスクはITだけに限らないので、包括的なリスク評価を踏まえて、企業が『情報セキュリティの必要性は低い』という判断をしているなら、一概に『未熟』とは言い切れない」と解説する。
ただ、現在のビジネスではクラウドサービスやモバイルといったITの活用が不可欠になり始めている。ITにまつわるリスクはほとんど企業が考慮しなければならない状況にあり、「情報セキュリティの成熟度を高めることでリスクを低減させ、情報漏えい事故やシステムダウンといったビジネスに深刻な影響を与える事象が発生しないように努めていくべき」(登坂氏)とアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.