日本のセキュリティはISO27001偏重 脅威情報の活用に遅れ
世界的にはサイバー攻撃などの脅威情報を積極的に活用しているが、日本は平時のマネジメントシステムに重きを置いている実態があるという。
標的型攻撃などの危険性が高まる中、世界的には企業のセキュリティ対策フレームワークで脅威情報の共有やインシデント対応などが採用される一方、国内企業では平時のマネジメントを重視するISO27001に偏重しているという。プライスウォーターハウスクーパース(PwC)が発表した「グローバル情報セキュリティ調査2016」で明らかになった。
それによると、企業が採用するセキュリティのフレームワークに関して、グローバルおよび国内ともISO27001の採用が最も多い。しかし、例えばインシデント対応を重視する米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークの採用率はグローバルの35%に対し、国内は9%。米セキュリティ機関SANS Instituteの「Twenty Critical Security Controls for Effective Cyber Defense」の採用率もグローバルでは28%に対し、国内は9%だった。
脅威などに関する情報を他の組織と共有しているかについては、グローバルでは64.7%に上る一方、国内では30.4%。共有していない日本企業の約4割はその理由に、情報共有の枠組みの整備や標準化の遅れを挙げている。
また過去1年に経験したインシデントによるダウンタイムの長さを、ベンダーなどが提供する脅威情報サービス、セキュリティ関連ログなど分析する「SIEM」、インデント対応プロセスのそれぞれの有無で比較した結果、いずれも「あり」とした組織では「なし」とした組織よりも短いことが分かった。
特に脅威情報サービスを導入している組織のダウンタイムは、未導入の組織の半分以下だった。ただ、SIEMやインデント対応プロセスの有無では「あり」とした組織でのダウンタイムが短い傾向にあるものの、脅威情報サービスほどの大きな差にはならなかったとしている。
PwCは日本企業に対し、インシデント発生を全体にその対応を推進させるセキュリティフレームワークの採用と、脅威に関する情報の外部組織との共有や提供サービスの利用を積極的に行うべきとアドバイスしている。
調査は5月7日から6月12日にかけて世界127カ国の1万人以上のCEOやCFO、CIO、セキュリティ最高責任者(CISO)、IT担当幹部らにアンケートした。国内からは286人が回答している。
関連記事
企業のセキュリティ体制づくり 3つの観点とは?
諸外国では金融業界の監督官庁が企業のセキュリティ強化を促す施策を主導しているという。プライスウォーターハウスクーパースが国内企業の体制強化におけるポイントを解説した。
経営から現場までをつなぐセキュリティサービス、PwCが参入
セキュリティ対策が企業経営の課題となる中、経営層への助言からサイバー攻撃などの分析・監視による現場支援までを行う。
日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと
日本企業は「役員クラスの情報セキュリティリーダーを置くべきだ」。サイバーセキュリティに関する世界規模のオンライン調査で、日本企業、特に経営層のセキュリティ意識が水準以下であることが分かった。経営層とIT部門は今後、何を考えるべきか、PwCが提言した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。