IT調査会社のガートナーは、日本企業のセキュリティへの取り組みに関する調査結果を発表した。
ガートナー ジャパンは7月4日、日本企業のセキュリティへの取り組みに関する調査結果を発表した。企業担当者の21%が、自社のセキュリティ対策において最も懸念すべき事項は「コストが掛かりすぎる」と回答し、セキュリティ対策の推進では「内容が複雑すぎる」が13%、「どこまでやればゴールなのか分かりにくい」が12%などの結果になった。
この結果についてガートナーは、セキュリティへの取り組みは、もはやITやセキュリティのリーダーのみで判断を下せる範囲を超えており、経営者が関与、判断する必要があると指摘している。
また、セキュリティシステムが「複雑化」してさまざまな対策の強化を「どこまでやるか」ということで悩む担当者が増えている中、組織のセキュリティリーダーは、現実的な落としどころを見つけて取り組みを推進していく必要に迫られているとしている。そしてセキュリティが再定義される中、組織のセキュリティリーダーも考え方を根本から変えていく必要があると指摘する。
ガートナーは、セキュリティについての従来の考え方を新しい取り組みへ変容させていく際に検討すべきことを、「トラスト&レジリエンスに関する重要な6つの原則」として挙げている。6つの原則は、(1)リスク・ベース、(2)ビジネス成果、(3)ファシリテーター、(4)検知と対応、(5)「人中心」のセキュリティ、(6)データフロー――で、特に投資判断の点では、(2)と(3)が非常に重大、かつチャレンジングな原則としている。
ファシリテーターは経営者と対話する場合、技術的な用語を避けてビジネスの言葉で語らなければならないとし、一方で、技術的な側面では、外部の専門家との会話が成り立つレベルの知識やスキルが欠かせないとしている。
これからのセキュリティは「システムやデータを守る」という発想ではなく、「ビジネスを守る」という考え方に転換しなくてはならない、とガートナーは指摘している。組織の中で「セキュリティは費用が掛かり過ぎ、しかも複雑だ。どこまでやればいいか、ゴールさえ見えない」という“ぼやき”から脱して、トップを説得して適切な落としどころを見つけるリーダーがいるか、いないかで、今後企業システムの安定性には大きな差が出てくるだろうという。
この調査は2016年3月に実施され、ITインフラ領域の製品やソリューション、サービスの導入選定に際して決裁権がある、関与している、もしくはITインフラストラクチャの戦略に関与している役職による回答を想定している。有効回答数は515件で、回答企業の従業員数規模は2000人以上が253社、1000〜1999人が108社、500〜999人が154社。
国内外のセキュリティ事故の例を見ても、システムセキュリティには多層防御の考え方を取り入れなくては、守りきれないことは明らか。いまの多くの企業にとってサイバー攻撃者は、はるか上を行く存在であるだけに、明らかに環境が変化していることを認識して、「セキュリティはIT部門が考えること」という発想から抜け出すべきだろう。
Copyright © ITmedia, Inc. All Rights Reserved.