ガートナージャパンの調査によると、セキュリティポリシーを策定している企業は全体の約半数だが、監査を実施している企業は15%にとどまるという。
「いよいよ真剣にコンプライアンスを考えなければいけない状況になってきているが、情報セキュリティポリシーを策定している企業は46.5%。監査を行っている企業となると15%にとどまっている」――ガートナージャパンのセキュリティ担当リサーチディレクター、石橋正彦氏は、シマンテックが8月22日に行った記者向け説明会の中でこのように語った。
この調査は、ガートナージャパンが2006年4月15日から5月30日にかけて、国内の従業員50人以上の企業を対象に実施したもの。有効回答数は1060社だった。
調査の結果、セキュリティポリシーを策定していると回答した企業は、2005年からわずかに増加し、半数近くの46.5%に上った。特に、従業員2000人以上の大企業では74.6%に達している。にもかかわらず、個人情報保護法の全面施行以後も、情報流出事件はなくなっていない。
流出の大きな要因として挙げられるのが、ノートPCや外部記憶媒体の持ち出し、あるいは持ち込みだ。調査によると、「常時」ノートPCの持ち出しがあると回答した企業が23%、「ある程度」と合わせると49.6%が持ち出していた。「持ち出さないと成り立たないビジネスモデルになっており、社内の業務フローが全然変わっていない」(石橋氏)
もう1つの要因は、コンプライアンスが徹底していないことではないかという。私物のPCを社内に持ち込むケースは減っているが、「日常的にある」という回答は、2005年の10.7%とほとんど変わらない9.2%。つまり多くの企業では、私用PCやUSBメモリなどを通じた情報流出を懸念しておきながら、それを禁じるルールが策定されていないか、策定されていても徹底していないという状況だ。
ルールの徹底を図るには、効果的な「監査」が必要だとしたのは、シマンテックのリージョナル・プロダクト・マーケティング・マネージャ、金野隆氏だ。それも、「単なる脆弱性診断に終わらない、包括的な監査が必要」(同氏)という。
ただ、この監査に対する取り組みは、まだ十分に進んでいるとは言えない。ガートナーの調査によると、セキュリティ監査を実施している企業は全体の15%。いわゆるPDCAサイクルが一巡していない状態だ。
2005年に米GartnerがGlobal 200企業を対象に行った調査を元に日米の取り組みを比較すると、「PDCAが回り、認証取得がなされている」企業は、米国の5%に対し、日本のほうが7%とわずかながら上回った。にもかかわらず「修正段階」に当たるセキュリティ監査を実施している企業となると、米国の20%に対し、日本は16%にとどまっている。
こうしたねじれが発生している理由について石橋氏は、「日本の企業は認証にこだわっており、認証取得が先に行ってしまった」と述べている。一方で「米国の場合は、株主総会で株主が『セキュリティ監査は行っているのか』といった突っ込んだ質問を行う土壌があることも大きい」(石橋氏)
また、監査の性質そのものにも違いがあるとした。
日本の場合、従業員に対するセキュリティ教育や体制の部分が監査の焦点となるのに対し、「米国の場合、ほとんどの時間は、システムに対する特権を持つデータセンターや管理者に対する抜き打ちの検査で占められる。事前に提出された申請書の内容とログに矛盾がないかをチェックするのが中心」(石橋氏)。逆に、従業員に対する検査にはほとんど時間は割かれない。というのも「一般従業員にははじめから特権を与えないように決めておき、それをIAM(Identity&Access Management)などのツールで担保しているから」(同氏)という。
Copyright © ITmedia, Inc. All Rights Reserved.