情報セキュリティ対策の推進には「トップの関与を」!
クラウド情報セキュリティ
NRIセキュアテクノロジーズは1月9日、「企業における情報セキュリティ実態調査2012報告書」を公開しました。
セキュリティ対策を担う人材や予算の不足、事業継続計画(BCP)の不備やモバイルデバイス活用などの課題が浮き彫りになったとしています。
調査は上場企業などを対象に2002年から毎年実施しているもの。今回は2012年8月24日?10月4日に3000社へ郵送でのアンケートを行い、741社から回答があった。
人材や予算は増えず
まず、人材の充足状況では84%が「不足している」と回答。社外のセキュリティ会社やコンサルタントなどの活用では売上高5000億円以上の企業 の31%が「増やす」としたが、全体の82%は「現状維持」と答えた。外部委託しても良いと考える業務では「外部からの不正侵入に関する監視」(70%) や「診断やリリース前のテスト」(65%)、「セキュリティ基盤の構築」(62%)が高い割合となった。
海外拠点を持つ企業410社に国内外でのセキュリティ統制の実施状況を尋ねた質問には、82%が「国内で実施している」としたが、「海外で実施し ている」は37%だった。内訳は「ルールの作成」が国内87%・国外45%、「支部に対する本社の関与」が国内59%・国外27%、「モニタリングの実 施」が国内100%・国外41%となっている。
セキュリティ関連投資額の変化では2012年度の予算額を「現状維持」とする企業が69%を占め、前回調査から9ポイント増加した。「前年度より 増加」という回答は売上高5000億円以上の企業で27%、同1000億円から5000億円未満の企業で24%、同1000億円未満の企業では18%だっ た。
BCPやモバイル活用の課題も
調査では2011年の東日本大震災に伴うBCPや「IT-BCP(ITサービス継続計画)」の取り組みも尋ねた。BCPやIT-BCPの策定状況は、51%が「どちらも未策定」とし、「どちらも策定済み」(24%)を大きく上回った。
BCPやIT-BCPの必須項目である「重要業務・サービスの絞り込み」「目標復旧時間の設定」の実施状況は、どちらも実施している企業がBCP で69%、IT-BCPで73%だった。ともに約3割の企業ではいずれかの項目、もしくは、両項目とも実施していないなど内容に不備が認められた。
IT-BCPはBCPに包含されるものといい、IT-BCPがBCPと整合性を取れているかについては、65%が「取っている」としたものの、21%は「取っていない」、11%が「分からない」と答えた。
また、近年に企業で広がるスマートフォンやタブレットデバイス(通称:スマートデバイス)の活用は、53%が「積極的に業務導入する」と回答し、「検討中」も24%に上った。23%は「当面しない」とした。
個人所有のデバイスを業務に利用する「BYOD(Bring Your Own Device)」の導入状況では「導入済み」が8%、「検討中」が18%だったものの、73%は「予定無し」と答えた。特に業種別では銀行・証券・保険の 96%が「予定無し」と回答し、「導入済み」は0%(ゼロ件)。一方、通信・情報処理・メディアでは「導入済み」が22%に達し、他業種を大きく上回っ た。
調査結果について同社セキュリティコンサルティング部の広瀬真一氏は、次のように提起している。
- 外部人材の有効活用と内部人材の育成のための人材確保計画が必要
- セキュリティリスクを評価し、事業への影響が大きなリスクに重点的に対策を行う
- 国際規格やクラウドなどを活用してBCPおよびIT-BCPの作成、見直し、継続的改善を実施する
- スマートデバイスのためのセキュリティルールや管理体制の整備、見直しが必要
(1)では人材育成には時間を要することから、今後しばらくは人材の不足感が解消されないとみる。海外拠点でのセキュリティ強化も同様といい、社 外人材の活用を含めた計画が重要だという。(2)では2012年に標的型サイバー攻撃が増加したことで企業の意識は高まったものの、円高不況など企業の業 績が低迷する現状では対策費用の増加は見込めないと解説する。(3)では2012年5月に事業継続マネジメントシステムの国際規格「ISO 22301」が正式発行された。今後は、同規格やクラウドサービスを活用して実効性のあるBCPやBCP-ITの整備促進が期待されるという。(4)では PCを前提としたセキュリティルールやポリシーを活用すべきとする専門家もいるが、MDM(モバイルデバイス管理)ツールなど、PCとは異なる対策手法を 利用した独自のルールやポリシーが今後必要になるとアドバイスしている。
広瀬氏は、「企業のセキュリティリスクが高まっているものの、対策が進まない現状が浮き彫りになった。先進的な企業では経営層が積極的に対策へ関 与しているだけに、経営層の意識がポイントになる」と話す。だが現場担当者が数人だけという企業も多く、少ない人員でセキュリティ対策に取り組まざるを得 ない現状に警鐘を鳴らしている。
出典元:ITmedia(http://www.itmedia.co.jp/enterprise/articles/1301/09/news102.html)
報告書:情報セキュリティ実態調査2012-NRIforum185 (PDFファイル)
コメントを投稿する
※コメントは管理者による承認後に掲載されます。