ここから本文です

調査でみる、日本のセキュリティが“未熟”な理由

ITmedia エンタープライズ 10/20(木) 8:09配信

 IT専門調査会社のIDC Japanは10月19日、国内ユーザー企業(非ITサービス業)を対象に実施した情報セキュリティの成熟度調査の分析結果を発表した。日本企業のセキュリティへの取り組みは米国企業に比べて遅れているといい、その原因や推進策などを解説した。

【その他の画像】

 同社は、2016年から企業のIT利用状況を成熟度で示す調査分析をスタート。これまでクラウドやモバイル、IoT(モノのインターネット)、ビッグデータ分析などをテーマに分析結果を公表している。今回は情報セキュリティの取り組みを5段階の成熟度で示し、日本と米国の比較結果も公表している。

 調査は2016年7月に、従業員500人以上の企業で情報セキュリティ業務に関係しているIT関連部門の課長職以上を対象にWebでアンケートを行い、日本では200社、米国では150社が回答した。アンケート結果について「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を指標に用いて成熟度を算出した。5つの特性および成熟度の内容は以下の通り。

●日本企業のセキュリティは未熟?

 調査結果によると、日本企業の情報セキュリティの成熟度は、「限定的導入(ステージ2)」が36.0%で最も多く、回答企業の大半が「標準基盤化(ステージ3)」以下の段階にとどまっていることが分かった。

 調査を担当したソフトウェア&セキュリティグループ リサーチマネージャーの登坂恒夫氏によると、こうした企業ではセキュリティ対策がサイバー攻撃などの外部脅威やコンプライアンスへの対応に終始しているという。

 成熟度を特性別にみると、「ビジョン」と「リスク管理」ではステージ2とステージ3に位置する企業の割合がほぼ同じだった。「組織/人材マネジメント」と「運用プロセス」ではステージ2に位置する企業が最も多い状況だった。

 これについて登坂氏は、「ビジョンとリスク管理、組織/人材マネジメントと運用プロセスはそれぞれ関係性が深く、ビジョンとリスク管理への取り組みが十分ではないために、その先にある組織/人材マネジメントと運用プロセスへの取り組みも進んでいない」と指摘する。

 成熟度の日米比較の結果は、ステージ1~2に位置する企業は日本の方が多く、ステージ3~5に位置する企業は米国の方が多かった。登坂氏によると、ステージ3までとステージ4~5ステージでは、特にリスク管理に対する積極性が大きく影響しているという。日米ともステージ4~5に位置する企業がステージ3までに位置する企業に比べて少ないものの、その差は日本の方が大きいという。

 こうした成熟度は、IDCが開発した「IDC MaturityScape」というフレームワークをもとに、グローバルでの相対評価によって算出しているという。そのため、今回の調査では「日本の情報セキュリティが米国に比べて未熟」という評価になっている。

●日本が未熟とされる理由

 登坂氏は、日本では外部脅威の防御やコンプライアンスへの対応が優先され、ビジネスを阻害するリスクの洗い出しや評価、リスクを低減するために積極的にコントロールしていく取り組みが米国に比べて弱いと分析する。

 一方、米国ではビジネスを拡大させるためにリスク管理が重視され、その観点で情報セキュリティに取り組んでいるという。この違いを5つの指標でみた場合、特に「組織/人材マネジメント」「セキュリティテクノロジー」の2つの指標において、日本と米国の間に顕著な差が生じているとのこと。

 米国では企業全体でリスクを積極的に管理するために、情報セキュリティ責任者やセキュリティ担当幹部が必要とされ、こうした役職者を取締役レベルで設置して、強力な権限も与えている。役職者がリーダーシップを発揮し、セキュリティツールや技術を利用しながらセキュリティを担保することで、事業部門がビジネスに注力できる体制にしていくという考え方だ。

 日本では米国に比べてリスク管理の必要性を低いとみる企業が多いためか、情報セキュリティの取り組みは「しなければならない」範囲にとどまっているという。こうしたことから、情報セキュリティのためのリソースは、米国では投資、日本ではコストとみなされる傾向にあるとしている。

 調査結果からは「日本の情報セキュリティが未熟」と映るが、登坂氏は「ビジネスリスクはITだけに限らないので、包括的なリスク評価を踏まえて、企業が『情報セキュリティの必要性は低い』という判断をしているなら、一概に『未熟』とは言い切れない」と解説する。

 ただ、現在のビジネスではクラウドサービスやモバイルといったITの活用が不可欠になり始めている。ITにまつわるリスクはほとんど企業が考慮しなければならない状況にあり、「情報セキュリティの成熟度を高めることでリスクを低減させ、情報漏えい事故やシステムダウンといったビジネスに深刻な影響を与える事象が発生しないように努めていくべき」(登坂氏)とアドバイスしている。

最終更新:10/20(木) 8:09

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

「水中に潜む本当の危機」
インドガリアルとキングコブラはインドの象徴ともいえる爬虫類ですが、水質汚汚濁のために存亡が危ぶまれています。環境保護者のロミュラスウィトカーがこの素晴らしい動物たちの貴重な映像をお見せして、彼らのそして私達の生活を支えている川の保全を訴えます。