ニュース
» 2016年03月01日 09時45分 公開

セキュリティ事故経験は7割? 数字でみるニッポン企業の現実セキュリティ事故の被害を回避するインシデントレスポンス(2/2 ページ)

[國谷武史,ITmedia]
前のページへ 1|2       

セキュリティリスクへの対応は道半ば

 企業や組織のセキュリティ対策は、ルールや規定で人による危険な行為を禁止したり、ウイルス対策ソフトやファイアウォールを導入して外部からの攻撃を遮断したりするといった、脅威やリスクを“未然に防ぐ”アプローチが主流だ。

 しかし、このアプローチでセキュリティ対策を講じていても、セキュリティ事故を未然に、かつ“カンペキ”に防ぐことは当然ながら不可能である。このため、最近ではセキュリティの脅威やリスクへの対応を重視する組織環境を整備する動きが広まりつつある。

 例えば、「CISO」(最高情報セキュリティ責任者)と呼ばれる役員クラスのセキュリティ担当者を設置する企業は、前項のIPAの調査では23.4%に上る。特に大企業(年商10億円以上)では38.3%と高く、中小企業(同1億円未満)でも12.4%が設置していると回答した。NRIセキュアテクノロジーズの調査では上場企業が中心となるものの、CISOを設置している企業(兼務を含む)は45.9%ある。

出典:IPA「企業におけるサイバーリスク管理の実態調査2015」

 セキュリティを担当する部門・部署の設置状況は、IPAの調査では兼務するケースを含めると41.9%あり、企業規模が大きいほど、この割合は高い。また、コンピュータ関連事故に対応する「CSIRT」(コンピュータセキュリティ事故対応チーム)は、NRIセキュアテクノロジーズの調査によれば、CISRTを構築済み、検討中までを含めると半数近い企業が関心を持っている。

 セキュリティ事故に企業が危機意識を持つのは、金銭的な被害や社会でのイメージダウンといった、事業への悪影響が無視できない課題になっているからだとされる。

 トレンドマイクロの調査によれば、事故を経験した企業・組織892件のうち、467件の実被害が発生したと回答。被害総額は1000万円未満が40.5%で最も多いが、「1億円以上」も16.9%に上る。ここでの被害総額は、システムの復旧や停止中の効率低下・売上機会の損失、株価下落、イメージの失墜、再発防止策、法的補償など、事故によって生じたあらゆる損害となる。

2014年セキュリティインシデントによる年間被害総額(n=467)、出典:トレンドマイクロ「組織におけるセキュリティ対策 実態調査2015年版」

 しかし情報セキュリティへ従来以上に集中的に取り組む動きは、まだ始まったばかり。NRIセキュアテクノロジーズの調査によると、専任のCISOがいる企業は2.9%、CSIRTを構築して有効に機能している企業は5.3%にとどまる。IPAの調査でもセキュリティ専門部署・部門がある企業は12.4%だった。

 多くの企業がセキュリティ事故を経験し、事故から多額の被害を伴うケースが多い状況を考慮すると、専任のCISOや部門・部署を設置するだけでなく、平時・有事ともにこうした対応体制を有効に機能する状況に整備することが急がれるだろう。

 NRIセキュアテクノロジーズによれば、例えば、大手金融機関ではCISOが主催し、CIO(情報システム担当最高責任者)も陪席する会議を週に1度行い、さまざまなセキュリティの課題についてそれぞれのトップが認識を共有したり、改善に向けた方策を検討している。セキュリティ担当部門と情報システム部門を切り分けているのは、セキュリティがITだけでない経営課題であるという認識からであり、それぞれ部門が連携しながら、時にはブレーキ役にもなることで、有効に機能するセキュリティ対応を図っているという。

 また専任のCISO設置を目指す企業の場合、大手製造企業では社外からの適任者の採用を進め、別の金融機関ではセキュリティ責任者をCISOに昇格させ、専門性を補うために外部企業のサービスを併用しているという。

 理想的なセキュリティ対策や事故対応体制の実現は一朝一夕にはいかないが、それを意識して動いている企業はさまざまな方法を既に試みているようだ。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ