企業の情報セキュリティ実態を調査したNRIセキュアの最新レポートからは、リスクを意識しながらも人材や予算への投資に前向きではない現状が浮き彫りになった。
NRIセキュアテクノロジーズは1月9日、「企業における情報セキュリティ実態調査2012報告書」を公開した。セキュリティ対策を担う人材や予算の不足、事業継続計画(BCP)の不備やモバイルデバイス活用などの課題が浮き彫りになったとしている。
調査は上場企業などを対象に2002年から毎年実施しているもの。今回は2012年8月24日〜10月4日に3000社へ郵送でのアンケートを行い、741社から回答があった。
まず、人材の充足状況では84%が「不足している」と回答。社外のセキュリティ会社やコンサルタントなどの活用では売上高5000億円以上の企業の31%が「増やす」としたが、全体の82%は「現状維持」と答えた。外部委託しても良いと考える業務では「外部からの不正侵入に関する監視」(70%)や「診断やリリース前のテスト」(65%)、「セキュリティ基盤の構築」(62%)が高い割合となった。
海外拠点を持つ企業410社に国内外でのセキュリティ統制の実施状況を尋ねた質問には、82%が「国内で実施している」としたが、「海外で実施している」は37%だった。内訳は「ルールの作成」が国内87%・国外45%、「支部に対する本社の関与」が国内59%・国外27%、「モニタリングの実施」が国内100%・国外41%となっている。
セキュリティ関連投資額の変化では2012年度の予算額を「現状維持」とする企業が69%を占め、前回調査から9ポイント増加した。「前年度より増加」という回答は売上高5000億円以上の企業で27%、同1000億円から5000億円未満の企業で24%、同1000億円未満の企業では18%だった。
調査では2011年の東日本大震災に伴うBCPや「IT-BCP(ITサービス継続計画)」の取り組みも尋ねた。BCPやIT-BCPの策定状況は、51%が「どちらも未策定」とし、「どちらも策定済み」(24%)を大きく上回った。
BCPやIT-BCPの必須項目である「重要業務・サービスの絞り込み」「目標復旧時間の設定」の実施状況は、どちらも実施している企業がBCPで69%、IT-BCPで73%だった。ともに約3割の企業ではいずれかの項目、もしくは、両項目とも実施していないなど内容に不備が認められた。
IT-BCPはBCPに包含されるものといい、IT-BCPがBCPと整合性を取れているかについては、65%が「取っている」としたものの、21%は「取っていない」、11%が「分からない」と答えた。
また、近年に企業で広がるスマートフォンやタブレットデバイス(通称:スマートデバイス)の活用は、53%が「積極的に業務導入する」と回答し、「検討中」も24%に上った。23%は「当面しない」とした。
個人所有のデバイスを業務に利用する「BYOD(Bring Your Own Device)」の導入状況では「導入済み」が8%、「検討中」が18%だったものの、73%は「予定無し」と答えた。特に業種別では銀行・証券・保険の96%が「予定無し」と回答し、「導入済み」は0%(ゼロ件)。一方、通信・情報処理・メディアでは「導入済み」が22%に達し、他業種を大きく上回った。
調査結果について同社セキュリティコンサルティング部の広瀬真一氏は、次のように提起している。
(1)では人材育成には時間を要することから、今後しばらくは人材の不足感が解消されないとみる。海外拠点でのセキュリティ強化も同様といい、社外人材の活用を含めた計画が重要だという。(2)では2012年に標的型サイバー攻撃が増加したことで企業の意識は高まったものの、円高不況など企業の業績が低迷する現状では対策費用の増加は見込めないと解説する。
(3)では2012年5月に事業継続マネジメントシステムの国際規格「ISO 22301」が正式発行された。今後は、同規格やクラウドサービスを活用して実効性のあるBCPやBCP-ITの整備促進が期待されるという。(4)ではPCを前提としたセキュリティルールやポリシーを活用すべきとする専門家もいるが、MDM(モバイルデバイス管理)ツールなど、PCとは異なる対策手法を利用した独自のルールやポリシーが今後必要になるとアドバイスしている。
広瀬氏は、「企業のセキュリティリスクが高まっているものの、対策が進まない現状が浮き彫りになった。先進的な企業では経営層が積極的に対策へ関与しているだけに、経営層の意識がポイントになる」と話す。だが現場担当者が数人だけという企業も多く、少ない人員でセキュリティ対策に取り組まざるを得ない現状に警鐘を鳴らしている。
Copyright © ITmedia, Inc. All Rights Reserved.