Survey：トピックス

2003/10/15 00:00:00 更新

国内ビジネスケーススタディ分析
セキュリティマネジメントに関するユーザー調査（1）

イーシーリサーチによる調査結果から、日本企業におけるセキュリティマネジメントの導入状況やその特徴、具体的な実施対策の内容について紹介、分析していく

セキュリティマネジメントとは

　近年、ブロードバンドの普及が進むことにより情報のデジタル化やアクセス範囲の広域化が進展し、サイバースペース上での犯罪増加も避けられない。その結果、企業にとってセキュリティマネジメントは、企業規模の大小、業種によらず共通の活動として重視しなければならない時代が到来したといえる。

　ところが、セキュリティマネジメントを重要な課題として真剣に取り組んでいるのは、主に大企業の一部に限られているように見受けられる。その背景には、その重要性を認識していない経営者が多いこと、ある程度のコスト負担を強いられること、余分な作業を増やす活動として社員に敬遠されがちなことなどが挙げられる。だが、セキュリティマネジメントの目的は情報資産や資金、社会的信用の「損失」を最小限に抑えることにある。つまり、利益の拡大が困難な時代においては重要な“収益源”となる活動であり、取り組まなければ企業の存続さえ危うくなるのである。

　この連載では、イーシーリサーチが企業ユーザーに対して行ったアンケート調査の結果から、日本企業におけるセキュリティマネジメントの導入状況やその特徴、具体的な実施対策の内容について紹介する。ぜひ、自社のセキュリティマネジメント推進やセキュリティ関連機器の導入に役立てていただきたい。

調査方法と概要

　このアンケート調査は、2002年11月21日〜12月1日までの11日間、ソフトバンクパブリッシングが運営するAQUTNETを利用して、Webを通じて実施したものである。

　調査対象は、社内の情報システムに関する責任者、担当者、または情報システムへの投資や購入の決定権を持つ者に限定した。幅広い業種の企業から回答を得ており、最終的な回答総数（母集団）は1,424件となっている。

セキュリティマネジメントの取り組み状況について

▼取り組み姿勢において『二極化』が進展

　まず、『会社としてセキュリティマネジメントにどのように取り組んでいるか』という設問に対し、『企業経営の一環として取り組んでいる』と回答した企業の割合を業種別に比較した結果、トップ3とワースト3は以下のようになった。

表1　セキュリティマネジメントを企業経営の一環として取り組んでいる企業の割合

トップ3
1.製造業（電気機械・輸送用機械）	35.4%
2.情報サービス・調査・広告業	33.9%
3.金融業・不動産業	27.8%

ワースト3
1.医療・福祉・保険・教育・中央官庁・地方公共団体	7.6%
2.農林漁業・鉱業・建設業	10.1%
3.卸売業・小売業・飲食店	12.2%

　トップ3の顔ぶれを見ると、製造業や情報サービス業といった日常的にデジタル情報や通信・ネットワークを利用しており、「情報＝企業の競争力」となっている業種である。これらの企業でSMの導入が必要不可欠だったことは明らかである。一方、ワースト3を見ると、医療や保険、官公庁など、本来は積極的にセキュリティマネジメントに取り組まなくてはならないはずの業界や、個人情報を大量に保有する卸売・小売業が挙がっている。これらの業界で全社的なセキュリティマネジメントに取り組んでいないという事実は、医療ミスの増加や自社Webサイトからの個人情報漏洩などのトラブルを招きかねない。なお、現在これらの業界でもセキュリティ対策に取り組む企業が増えてきており、システムベンダーにとっては新たなビジネスチャンスとなっている。

　このようなセキュリティマネジメントに対する取り組みに対する姿勢の違いは、認知度と深い相関関係にある（下表）。セキュリティマネジメントについての知識や理解が乏しい企業ほど導入が遅れているのである。この傾向は、特に規模の小さな企業ほど顕著である。最近では、社内にセキュリティ対策の専門組織を作り啓蒙活動を進める企業も増えており、この分野における教育市場の拡大も期待されている。

対策は「情報システム部門」や「社員」任せ

　日本企業におけるセキュリティマネジメント取り組みの特徴として、情報システム部門が主体となっているケースが多いことが挙げられる。この傾向は、特に中堅・中小企業に強く見られる。

表3　企業規模別に見たセキュリティマネジメントに対する取り組み姿勢

	1.企業経営の一環として取り組んでいる	2.情報システム部門レベルで積極的に取り組んでいる	3.取り組んではいるが、必要最低限に抑えている"	4.特に取り組んでいない／必要を感じない	総計
1-29人	10%	7%	52%	31%	488
30-99人	12%	15%	51%	22%	253
100-299人	16%	28%	42%	14%	185
300-999人	21%	38%	30%	11%	168
1000人以上	43%	35%	17%	6%	330
総計	285	303	566	270	1424

　一般にセキュリティマネジメントは、防災設備やICカードによる入退出管理システムといった「物理的・環境的セキュリティ」、ウイルス検知ソフトやネットワーク機器といった「システム的セキュリティ」、社員の教育・訓練などの「人的セキュリティ」で構成されるが、効果的にセキュリティマネジメントを導入するためには、これらの項目の基本方針となるセキュリティポリシーや実施目的を“全社的な”取り組みとして最初に規定することが大変重要である。ところが、この調査結果からは、セキュリティマネジメントを全社的な活動として捉えている企業より、情報システム部門の仕事と位置付け、任せてしまっている企業が多いのではないかと思われる。これでは実効性のある堅牢性の高いセキュリティ対策を講じることは困難である。しかも「取り組みは必要最小限に抑えている」と回答した企業の割合も非常に多く、日本におけるセキュリティマネジメントの取り組みは未だ黎明期にあると考えるべきだろう。

　最近発表された経済産業省の調査結果でも、先般話題となったBlasterやWelchiワームに対するセキュリティ対策を社員個人に任せている企業が多いことが示された。私見であるが、今回の調査で「必要最小限に抑えている」と回答した企業の多くが、セキュリティ対策を同じように社員の自主性に任せるレベルに留まっているのではないかと考えている。しかし、各自の社員が充分なセキュリティ対策を施すことは不可能であり、企業を狙った犯罪の多くが内部の犯行であることも珍しくないことから、経営トップ、情報システム部門、関連部門の担当者などで構成されるSM専門組織を作るべきであろう。

情報システムのセキュリティ対策を優先

　下記の表は、具体的に実施しているセキュリティを項目別にまとめたものである（表4）。

表4　セキュリティ項目の実施状況

	導入している	導入を検討している	あまり導入する予定はない	まったく導入する予定はない	わからない
セキュリティポリシーの設置	24.8%	15.9%	12.2%	8.6%	38.4%
財産の分類と管理	19.5%	14.5%	15.3%	9.1%	41.6%
人的セキュリティ（教育・訓練）	24.5%	19.4%	13.2%	9.5%	33.4%
物理的および環境的セキュリティ	32.9%	16.9%	9.9%	7.4%	32.9%
通信および運用管理	34.3%	18.0%	9.6%	6.4%	31.7%
法的準拠	18.1%	17.8%	13.2%	8.7%	42.2%

　この結果を見ると、セキュリティポリシーの設置や財産の分類と管理といった項目よりも、物理的・環境的セキュリティや通信・運用管理といった対策を実施している企業が多いことがわかる。つまり、セキュリティマネジメントを体系的に導入している企業は少なく、ファイアウォールの設置やウィルス対策を講じるといった情報システム面のセキュリティ対策が優先されているのが現状と言える。しかし、セキュリティ対策を体系的に実施せず、場当たり的な対策を繰り返すだけでは、セキュリティホールを塞ぐことは難しい。

　また、セキュリティレベルを維持し続けるためには、人的セキュリティ（社員の教育・訓練など）の強化が必要不可欠であるが、残念ながらその実施についても積極的であるとは言えない状況である。

　このように、日本においてセキュリティマネジメントを本格的に実施している企業は多いとは言えず、すでに導入している企業でも、トップダウンで体系的に導入しているというよりは、情報システム部門を中心としてシステム面でのセキュリティ対策を優先しているケースが多いようである。最近では、さまざまな事件・事故を契機にセキュリティマネジメントの認知度が上がってきてはいるものの、正しい知識が幅広く浸透している状況ではない。しかし今後は、中堅企業や中小企業においても、情報システム部門などを中心とした総合的なセキュリティ対策が進むものと見られ、経営トップや社員の意識改革が必須となろう。ITベンダーにとってもセキュリティマネジメント導入をサポートできる能力が要求される。

　次回は、セキュリティマネジメントを導入している企業が具体的に行っているセキュリティ対策の実態について紹介する。

Copyright (c) 2003 Inter Intelligence Inc. All Rights Reserved.

[市川正紀，インターインテリジェンス]