日本企業は内部脅威に対して自信がない〜トーマツ調査:内部セキュリティに対して数も能力も手薄な状態
デロイトトーマツリスクサービスは11月15日、報道関係者向けの説明会を実施。同社の親会社であるトーマツがワールドワイドで実施した「グローバルセキュリティ調査結果」について説明を行った。
デロイトトーマツリスクサービス パートナー 丸山満彦氏調査はトーマツが主体となり、ワールドワイドで実施。主に金融業とTMT(テクノロジ・メディア・通信)向けに行われた。金融業の場合、質問数80におよぶ質問書を手渡し、もしくは電子メールで送付し、回収・結果報告を行った。TMT業界では150社が回答した。回答企業を地域別に見ると、ヨーロッパ、中東アフリカ地域が一番多く45%程度、米国が9〜15%、アジア太平洋が10〜18%、日本が6〜10%となっている。
質問は、各企業がグローバルに展開していく際に直面しているセキュリティに関する問題点や脅威、今後の課題などについて問うたもので、それぞれの業界で特徴が出ている。
内容を解説したデロイトトーマツリスクサービス パートナー 丸山満彦氏は、「将来、国内市場の縮小が予測される日本企業が成長するためには、グローバル化が必須だ。しかし、日本の情報セキュリティの常識と各国の常識・意識は異なる。このような背景から、日本はグローバルなセキュリティ情勢を意識した活動が必要になってきている。今回の調査はその問題を浮き彫りにし、意識してほしいために発表した」と説明した。
日本企業は内部からのセキュリティ対策について、数も能力も手薄
今回調査に参加した金融機関Aの場合、日本には個人情報保護法がある関係で個人情報の取り扱いに対して非常にシビア。しかし、国外のアウトソース先に同程度のセキュリティを求めるに当たっては、委託先を監督・監査する機関が不足しているほか、監督・監査の厳しさや内容も日本ほどではないという問題が発生した。また、各国の地域特性を勘案した効果的なセキュリティ対策も不十分だったため、現在リスクを把握したうえでのセキュリティ対策を進めているという。
金融機関を対象とした調査結果からは、全体的に外部からの攻撃と比較して内部からの攻撃に対する自信が少なく、「組織内部からの脅威に対して自信を失いつつある」という結果が出た。特にこの結果は日本で顕著だった。「内部の情報セキュリティ要員が、現在および将来のセキュリティ要件に対処する能力を有している」という質問では、“有る”と回答した企業が全世界平均が45%だったのに対して、日本企業は最も低い20%だった。
デロイトトーマツリスクサービス パートナー 谷口博一氏は、「日本企業は、日本版SOX法を経験しているため、IDアクセス管理とログ管理のレベルは上がっている。しかし、内部に対するセキュリティに関しては、さまざまな面で自信を失っているようだ。内部の脅威に対しては、海外拠点と連携しながら“中央集権型”“連邦型”“地方自治型”を選択し、ポリシー見直しやデータの暗号化、統合管理ツール、物理セキュリティをさらに検討する必要があるだろう」とコメントした。
今後はクラウドのセキュリティも重要なポイントに
一方のTMTに属するIT企業B社の場合、すでにグローバル展開は終わっているものの、昨今ではM&Aを推進しているため、通常の各国に応じたリスク対応や法令対策に加え、買収した企業のセキュリティ対策も十分に行わなければならない。このため、同社では組織の方針や費用負担などに至る、詳細なグローバルなセキュリティ戦略を策定することになった。
このB社を含むTMT業界向け調査結果では、グローバル化がすでに急速に進展している中、アウトソーシング先も国外へ展開しており、その外部委託先のセキュリティをどのように把握・管理するかが重要な問題となった。例えば、45%のTMT企業が外部委託先のセキュリティやコントロールを把握していたものの、実際に委託先のセキュリティについて定期的にレビューやテストして検証していたのは、半分の22%に留まった。
また、外部委託先がセキュリティを適切に実践しているかどうかについて「非常に信頼している/信頼している」と回答した企業が31%におよんだ。一方、「信頼していない」は8%だった。
この点について丸山氏は、「少し楽観的に考えている企業が多い可能性がある。今後、クラウドサービスという新しい形態で、外部サービスの利用がますます増えていくだろう。その際に、クラウドサービスのセキュリティ管理状況をどのように把握し、評価・検証するかは非常に重要な問題だ。自社と同等のセキュリティレベルをクラウド事業者に対しても確保させなければならない。この点が今後大きなポイントになるだろう」と語り、クラウドサービスのセキュリティレベルについて問題提起した。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。