IDC調査でみる、日本のセキュリティが“未熟”な理由(1/2 ページ)
IDCが実施した調査結果よれば、日本企業の情報セキュリティへの取り組みは米国企業より遅れているというという。分析から日米の違いにどのような点がみられるのだろうか。
IT専門調査会社のIDC Japanは10月19日、国内ユーザー企業(非ITサービス業)を対象に実施した情報セキュリティの成熟度調査の分析結果を発表した。日本企業のセキュリティへの取り組みは米国企業に比べて遅れているといい、その原因や推進策などを解説した。
同社は、2016年から企業のIT利用状況を成熟度で示す調査分析をスタート。これまでクラウドやモバイル、IoT(モノのインターネット)、ビッグデータ分析などをテーマに分析結果を公表している。今回は情報セキュリティの取り組みを5段階の成熟度で示し、日本と米国の比較結果も公表している。
調査は2016年7月に、従業員500人以上の企業で情報セキュリティ業務に関係しているIT関連部門の課長職以上を対象にWebでアンケートを行い、日本では200社、米国では150社が回答した。アンケート結果について「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を指標に用いて成熟度を算出した。5つの特性および成熟度の内容は以下の通り。
| 特性 | 内容 |
|---|---|
| ビジョン | 事業目的や情報セキュリティの目的、法規制への監視、予算 |
| リスク管理 | リスク管理への取り組みと評価手法、対外関係、内部統制環境 |
| 組織/人材マネジメント | 情報セキュリティに関わる幹部のリーダシップ、組織文化、役割や人員 |
| 運用プロセス | ITリソースを活用する場合のポリシーの監視・管理、ID管理、脆弱性管理、脅威管理に関わる運用プロセス |
| セキュリティテクノロジー | ID・アクセス管理、ネットワークセキュリティ、マルウェア対策など企業で利用されているセキュリティ対策技術 |
| 成熟度 | 特徴 |
|---|---|
| 個人依存(ステージ1) | 明確な予算なし。必要に応じて基本的な対策を実施。基本的なセキュリティ戦略やマネジメントは欠如している。問題が生じない限り、セキュリティに注意を払わない。 |
| 限定的導入(ステージ2) | 専任社員が対策を担当している。コンプライアンスと法規制への対応に終始し、リスクを考慮したセキュリティ対策はしていない。 |
| 標準基盤化(ステージ3) | 法規制やリスク評価に基づくセキュリティの基本計画や内部統制を保有。リスクを考慮した対策を実施。事業価値の創出やITによる生産性向上の観点からリスク管理を活用している |
| 定量的管理(ステージ4) | ステージ3の環境をベースに、費用対効果の意識を持ってその効果が高いソリューションを率先して導入している。事業部門のニーズと価値提案に基づくセキュリティ戦略を策定しており、事業価値の創出やITによる生産性向上の観点からリスク管理に先進的な技術を活用している。 |
| 継続的革新(ステージ5) | ステージ4の環境をもとにリスク管理をビジネスマネジメントに組み込んでおり、リスクを予見して管理するためのセキュリティツールやソリューションを活用している。セキュリティ上の侵害を前提にしたセキュリティ環境を構築している。 |
日本企業のセキュリティは未熟?
調査結果によると、日本企業の情報セキュリティの成熟度は、「限定的導入(ステージ2)」が36.0%で最も多く、回答企業の大半が「標準基盤化(ステージ3)」以下の段階にとどまっていることが分かった。
調査を担当したソフトウェア&セキュリティグループ リサーチマネージャーの登坂恒夫氏によると、こうした企業ではセキュリティ対策がサイバー攻撃などの外部脅威やコンプライアンスへの対応に終始しているという。
成熟度を特性別にみると、「ビジョン」と「リスク管理」ではステージ2とステージ3に位置する企業の割合がほぼ同じだった。「組織/人材マネジメント」と「運用プロセス」ではステージ2に位置する企業が最も多い状況だった。
これについて登坂氏は、「ビジョンとリスク管理、組織/人材マネジメントと運用プロセスはそれぞれ関係性が深く、ビジョンとリスク管理への取り組みが十分ではないために、その先にある組織/人材マネジメントと運用プロセスへの取り組みも進んでいない」と指摘する。
成熟度の日米比較の結果は、ステージ1〜2に位置する企業は日本の方が多く、ステージ3〜5に位置する企業は米国の方が多かった。登坂氏によると、ステージ3までとステージ4〜5ステージでは、特にリスク管理に対する積極性が大きく影響しているという。日米ともステージ4〜5に位置する企業がステージ3までに位置する企業に比べて少ないものの、その差は日本の方が大きいという。
こうした成熟度は、IDCが開発した「IDC MaturityScape」というフレームワークをもとに、グローバルでの相対評価によって算出しているという。そのため、今回の調査では「日本の情報セキュリティが米国に比べて未熟」という評価になっている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。