セキュリティ基準の必要性は低い傾向に、自前対策を推進する企業:経産省調査にみる情報セキュリティ対策の今
経済産業省の2008年の情報セキュリティガバナンス実態調査では、国内企業が抱えるセキュリティ対策への取り組みが明らかになった。今回はセキュリティ基準や対策、事業継続性などの現状を紹介する。
経済産業省がこのほど公開した「情報セキュリティガバナンス実態調査2008 調査報告書」では、企業の情報セキュリティ対策に関する実情が明らかになった。今回は、セキュリティ関連基準に対する取り組みや対策の内容、事業継続性計画(BCP)の状況を紹介する。(前回記事はこちら)
この調査は、三菱総合研究所が経済産業省から委託を受け、日本情報システム・ユーザー協会(JUAS)が会員企業のIT部門を対象に2008年12月に実施した。729社から得た有効回答を集計した。
7割強が「必要なし」
まず、情報セキュリティ関連の認証や評価制度として「ISMS」「プライバシーマーク」「情報セキュリティ監査」の取り組み状況では、いずれの基準や制度に対しても7割近くが「取得の必要なし」と回答した(表1)。
その理由として、4割以上が「必要性を感じていない」と答え、「効果が明確でない」が続いた。プライバシーマークに対しては「対象とする業務が少ない」との回答が多く、ISMSに対しては「レベルが高すぎる」「費用がかかりすぎる」といった回答が目立つ結果となった(表2)。
取得に前向きな理由では、「企業の付加価値を高めるから」や「業務の必要性から」が多数を占めた。プライバシーマークに対しては、特に業務の必要性からグループ企業が積極的に取り組む傾向にあることが分かった。情報セキュリティ監査では、本社およびグループ企業とも事故の発生を抑止する目的で積極的あることがうかがえる(表3)。
具体的な対策の傾向では、社外でのPCを利用した業務について「認めている」が23.1%、「持ち出し専用PCに限定して認めている」が46.8%となった。一方、「認めていない」は28.2%だった。
PCの管理方法について(複数回答)は、「アクセス制限」が68.7%で最多を占めた。以下は、「ファイル暗号化」(39.8%)、「個人情報を含まない持ち出し用PCの準備」(35.6%)、「USBメモリなどの使用禁止」(28.5%)、「鎖をつけて持ち出せなくさせる」(19.6%)などだった。
自社のセキュリティレベルを計測する際の参考や基準(上位2つまで)では、「Webや雑誌のアンケート結果」(40.2%)が多く、「公開事例」(31.3%)や「情報セキュリティ監査」(26.1%)、「コンサルティング会社の評価」(24.6%)も目立つ。「参考にするものが分からない」も26.7%に上った。
対策は自前で
情報セキュリティ関連業務の外部への委託状況は、「ネットワークシステム設計・開発」が57.8%で最多を占めた。以下は、「ネットワークシステム運用」(38.6%)、「ウイルス対策、不正アクセス対策」(27.8%)、「ヘルプデスク」(23.6%)、「情報セキュリティ監査」(20.5%)などが続く。
委託する理由では、「十分な技術を持った人材の不足」や「人材を配置して社内対応する余裕がない」といった人的リソースの不足を挙げた回答が目立っている。また、ネットワークシステム運用やウイルス対策、不正アクセス対策、ヘルプデスク、情報セキュリティ教育では「自社で行うより安価で実現可能なため」との回答も多い(表4)。
ネットワークシステム設計・開発やウイルス対策、不正アクセス対策では、「技術の進歩に対応できない」との回答も2割強に上った。
BCPは災害やセキュリティ事故を重視
企業でBCPを担当する主な部門は、39.4%が「総務、法務部門」、37.4%が「IT部門」と回答した。BCPで想定するリスク(上位2つまで)は、「自然災害」が75.4%で最も多く、以下は「システム障害」(55.7%)、「社会インフラの停止」(33.3%)、「火災などでの操業停止」(19.5%)、「パンデミック対策」(13.8%)などだった。
BCPが必要とされる背景では、「企業活動のIT依存の増大」(64.2%)や「自然災害リスク」(52.9%)が多く、「予測困難リスクが頻発」(32.8%)や「事業活動の変化」(20.1%)との回答も目立った。
実施しているBCPの内容は、「情報漏えい、データ改ざんへの対応」が56.8%で最多を占め、「大規模システム障害への対応」が49.1%で続いた。このほか、「脆弱性対策などを含むセキュリティインシデントへの対応」(29.2%)や「社員などへの実地訓練、育成計画」(18.2%)、「ビジネスインパクトの分析」(15.7%)という回答も上がっている。
関連記事
企業のセキュリティ課題は社員のリテラシーと投資評価
経済産業省が公開した2008年の情報セキュリティガバナンス実態調査では、経営課題やセキュリティルール、技術的対策などについて、国内企業が抱える現状が明らかになった。調査結果の詳報を2回に分けて紹介する。
会社のセキュリティルールは破って当たり前、実態調査で明らかに
会社のセキュリティポリシーが無視されている実態が、従業員へのアンケート調査で浮き彫りになった。- 金融機関が懸念するセキュリティリスクは従業員、トーマツが発表
監査法人トーマツは、金融機関の多くが従業員などによって引き起こされるセキュリティ侵害を懸念していると発表した。 
メールやSNS経由の情報流出が増加、不況で危機感が増す――米調査
米Proofpointの調査によると、電子メールやブログ、SNS、Twitterなどを通じた企業の情報流出が増えている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。