企業のセキュリティ課題は社員のリテラシーと投資評価:経産省調査にみる情報セキュリティ対策の今(2/2 ページ)
経済産業省が公開した2008年の情報セキュリティガバナンス実態調査では、経営課題やセキュリティルール、技術的対策などについて、国内企業が抱える現状が明らかになった。調査結果の詳報を2回に分けて紹介する。
ルールを整備しても運用に難あり
整備している規則(複数回答)などでは、「情報セキュリティ管理に関する規則」(81.9%)、「情報セキュリティポリシー」(75.5%)、「個人情報管理に関する規則」(74.4%)、「文書、ファイル取り扱いに関する規則」(60.9%)となっている。
情報セキュリティポリシーの適用範囲(同)は、「国内のグループ企業全体」(38.1%)や「本社機構のみ」(33.6%)が多く、「海外の現地法人を含む」(8.8%)や「国内のブランドを共有している企業」(4.5%)は少ない結果となった。「策定していない」も15.5%あった。
グループ企業全体で共通化できない要因としては、「振り向けられる要因、コストがない」(67.4%)が最も多く、以下は「企業風土」(47.1%)、「コスト対効果が見合わない」(44.4%)、「経営層の指示まち」(17.7%)、「必要性を感じない」(15.2%)が続く。情報セキュリティ関連のルール運用についての課題では、「社員に周知徹底する教育機会が少ない」(69.1%)や「社員の意識が低い」(68.1%)との回答が目立った。
社員およびそれ以外(契約社員や業務委託先企業の社員、グループ企業社員)に対する教育(同)では、「定期的な教育カリキュラムに組み入れている」や「冊子を配布している」などの取り組みが多く、社員に対しては「eラーニングを行っている」との回答も目立った。「特にやっていない」は社員の場合で24.1%、それ以外の場合では43.2%に上った。
情報セキュリティに関する誓約書(同)では、社員およびそれ以外とも秘密保持契約など個別の誓約書を取り交わしている場合が多く、さらに社員では「就業規則に包括的に含まれている」、それ以外では「雇用契約書、委託契約書などに包括的に含まれている」と分かれた。
誓約書を取り交わすタイミングは、社員およびそれ以外とも「新規雇用契約時」が最多だった。次回は情報セキュリティ対策の評価や認証、アウトソーシング、技術と事業継続性計画の現状を紹介する。
関連記事
- 会社のセキュリティルールは破って当たり前、実態調査で明らかに
会社のセキュリティポリシーが無視されている実態が、従業員へのアンケート調査で浮き彫りになった。 - 金融機関が懸念するセキュリティリスクは従業員、トーマツが発表
監査法人トーマツは、金融機関の多くが従業員などによって引き起こされるセキュリティ侵害を懸念していると発表した。 - メールやSNS経由の情報流出が増加、不況で危機感が増す――米調査
米Proofpointの調査によると、電子メールやブログ、SNS、Twitterなどを通じた企業の情報流出が増えている。 - 企業で起こる2つのセキュリティ脅威を知る――JPCERT/CCの報告書から
JPCERT/CCは、企業を中心に被害が起きている「標的型攻撃」とリムーバブルメディアで感染するマルウェアの2つの脅威について詳細分析を行った報告書を公開している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.