情報処理推進機構(IPA)は2月16日、「2010年度情報セキュリティ製品の調達時に関する意識調査」を公開した。調査の結果、IT製品調達時に考慮する事項の優先順位や、認証製品の主な導入理由、約3割のIT関連製品製造業・情報通信業が認証取得に関心があることなどが明らかになった。
ユーザー企業などがIT製品を調達する際に考慮すべき事項についての調査では、最も重視する項目は「価格」(69.5%)となり、「セキュリティ機能」(61.7%)と続いた。これは「セキュリティ以外の機能」「ベンダー(メーカー)の知名度や市場シェア」を大きく上回っており、セキュリティ対策の必要性を認識していることがわかる。
しかし、セキュリティ対策上の課題として「リスクに対する具体的な対応策は分かっているが、予算の制約により実行できない」と回答した企業が約3割存在し、セキュリティ対策の優先順位は高いものの、予算の問題で実行できない状況も明らかになっている。
認証製品の利用実績または関心のある企業に導入理由を尋ねたところ、「当該製品セキュリティに関する安心感を得るため」が52.0%と最も多く、「内部統制の推進の一環として」(39.2%)、「グローバルな観点から必要と考えられるため」(31.4%)の順になった。企業の内部情報漏えい対策や、認証製品のセキュリティ機能が国際標準として保証されていることなどを理由としていると考えられる。
今回の調査は、IPAが国と連携、協力して実施している情報セキュリティ対策の一環。セキュリティ機能の適切性や確実性を、セキュリティ評価基準の国際基準「ISO/IEC15408」に基づいて第三者が評価し、認証機関としてIPAが認証する制度「ITセキュリティ評価および認証制度」の効果的な普及が目的。ユーザー企業などの認識や活用実態を調査、有効回答は545件。評価基準の名称としてはコモンクライテリア(Common Criteria:CC)とも呼ばれる。