情報セキュリティ対策の推進には「トップの関与を」
企業の情報セキュリティ実態を調査したNRIセキュアの最新レポートからは、リスクを意識しながらも人材や予算への投資に前向きではない現状が浮き彫りになった。
NRIセキュアテクノロジーズは1月9日、「企業における情報セキュリティ実態調査2012報告書」を公開した。セキュリティ対策を担う人材や予算の不足、事業継続計画(BCP)の不備やモバイルデバイス活用などの課題が浮き彫りになったとしている。
調査は上場企業などを対象に2002年から毎年実施しているもの。今回は2012年8月24日〜10月4日に3000社へ郵送でのアンケートを行い、741社から回答があった。
人材や予算は増えず
まず、人材の充足状況では84%が「不足している」と回答。社外のセキュリティ会社やコンサルタントなどの活用では売上高5000億円以上の企業の31%が「増やす」としたが、全体の82%は「現状維持」と答えた。外部委託しても良いと考える業務では「外部からの不正侵入に関する監視」(70%)や「診断やリリース前のテスト」(65%)、「セキュリティ基盤の構築」(62%)が高い割合となった。
海外拠点を持つ企業410社に国内外でのセキュリティ統制の実施状況を尋ねた質問には、82%が「国内で実施している」としたが、「海外で実施している」は37%だった。内訳は「ルールの作成」が国内87%・国外45%、「支部に対する本社の関与」が国内59%・国外27%、「モニタリングの実施」が国内100%・国外41%となっている。
セキュリティ関連投資額の変化では2012年度の予算額を「現状維持」とする企業が69%を占め、前回調査から9ポイント増加した。「前年度より増加」という回答は売上高5000億円以上の企業で27%、同1000億円から5000億円未満の企業で24%、同1000億円未満の企業では18%だった。
BCPやモバイル活用の課題も
調査では2011年の東日本大震災に伴うBCPや「IT-BCP(ITサービス継続計画)」の取り組みも尋ねた。BCPやIT-BCPの策定状況は、51%が「どちらも未策定」とし、「どちらも策定済み」(24%)を大きく上回った。
BCPやIT-BCPの必須項目である「重要業務・サービスの絞り込み」「目標復旧時間の設定」の実施状況は、どちらも実施している企業がBCPで69%、IT-BCPで73%だった。ともに約3割の企業ではいずれかの項目、もしくは、両項目とも実施していないなど内容に不備が認められた。
IT-BCPはBCPに包含されるものといい、IT-BCPがBCPと整合性を取れているかについては、65%が「取っている」としたものの、21%は「取っていない」、11%が「分からない」と答えた。
また、近年に企業で広がるスマートフォンやタブレットデバイス(通称:スマートデバイス)の活用は、53%が「積極的に業務導入する」と回答し、「検討中」も24%に上った。23%は「当面しない」とした。
個人所有のデバイスを業務に利用する「BYOD(Bring Your Own Device)」の導入状況では「導入済み」が8%、「検討中」が18%だったものの、73%は「予定無し」と答えた。特に業種別では銀行・証券・保険の96%が「予定無し」と回答し、「導入済み」は0%(ゼロ件)。一方、通信・情報処理・メディアでは「導入済み」が22%に達し、他業種を大きく上回った。
調査結果について同社セキュリティコンサルティング部の広瀬真一氏は、次のように提起している。
- 外部人材の有効活用と内部人材の育成のための人材確保計画が必要
- セキュリティリスクを評価し、事業への影響が大きなリスクに重点的に対策を行う
- 国際規格やクラウドなどを活用してBCPおよびIT-BCPの作成、見直し、継続的改善を実施する
- スマートデバイスのためのセキュリティルールや管理体制の整備、見直しが必要
(1)では人材育成には時間を要することから、今後しばらくは人材の不足感が解消されないとみる。海外拠点でのセキュリティ強化も同様といい、社外人材の活用を含めた計画が重要だという。(2)では2012年に標的型サイバー攻撃が増加したことで企業の意識は高まったものの、円高不況など企業の業績が低迷する現状では対策費用の増加は見込めないと解説する。
(3)では2012年5月に事業継続マネジメントシステムの国際規格「ISO 22301」が正式発行された。今後は、同規格やクラウドサービスを活用して実効性のあるBCPやBCP-ITの整備促進が期待されるという。(4)ではPCを前提としたセキュリティルールやポリシーを活用すべきとする専門家もいるが、MDM(モバイルデバイス管理)ツールなど、PCとは異なる対策手法を利用した独自のルールやポリシーが今後必要になるとアドバイスしている。
広瀬氏は、「企業のセキュリティリスクが高まっているものの、対策が進まない現状が浮き彫りになった。先進的な企業では経営層が積極的に対策へ関与しているだけに、経営層の意識がポイントになる」と話す。だが現場担当者が数人だけという企業も多く、少ない人員でセキュリティ対策に取り組まざるを得ない現状に警鐘を鳴らしている。
関連記事
- 企業の“致命的な弱点”は海外拠点のWebサイト――NRIセキュアが指摘
- 事業継続の優先度高まる、NRIセキュアが情報セキュリティの実態を調査
- 野村総研が自然災害でのBCP支援サービス、被災シミュレーションツールを活用
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。