この調査結果をふまえ、NRIセキュアテクノロジーズの足立氏は、次のように提言する。
1.予算については、セキュリティ脅威の高まり好景気という相乗効果で増額基調となっていると考えられる。追い風にある現在、短期・中期の対策計画を整備し、優先順位をつけた上で、段階的に対策を推進していくべき。
2.人材については、内部セキュリティ人材のスキル底上げとともに、外部の専門知識の利用の両立が必要で、社内の限られたリソースの投入先を整理すべきではないか。
3.グローバル統制については、国内に比べ海外の遅れが明らかであり、事業の成長スピードに統制水準が追いついていない。海外拠点における統制の課題の上位はセキュリティ意識の低さや担当者の兼務など、企業風土、要員に関するもので、体制面でのさらなる強化が必要。企業は自社の情報セキュリティ実態をグローバルで可視化することからはじめ、ルール整備とセキュリティ教育から強化すべき
4.モバイル・クラウドについては、すでに業務利用中の企業に加え、個人所有スマートデバイス利用を現在検討中の企業も含めると半数近い結果で、今後も私物機器の利用率は増加するものと見られる。利用ルールについては、「いったん整備したものの更新が必要」と考える企業も多く、各社試行錯誤を進めている状況がうかがえる。今後はスマートデバイス、クラウドを含め、各IT関連資産は自社所有を前提とせず、外部資産の活用を視野に入れた意思決定を実施し、そのための計画立案とルール整備を実施すべき
5.インシデントレスポンスは、近年のサイバー攻撃の高度化により、システム面での対策のみでは対応が難しくなっている。IPAやJPCERT/CCを通じた業界間の連携の活発化、金融庁の監督指針など監督省庁による要求に対応するために、システム面、マネジメント面双方の対策を連携、管理するCSIRTのような総合的な対策を実施すべき。実際に攻撃が起こっていることは確認したものの、それに対する対策が決定していないために対策を取るまでの時間が後手に回った例も出ている
6.最新トピックへの対応として、Windows XPのサポート終了、SDN製品の活用、ビッグデータ活用の際に必要となるプライバシーの取り扱いルールの策定などに対応するために、今後のセキュリティトレンドにおいても柔軟に対応すべく常にアンテナを張り巡らせ、情報収集を行うことが重要
そして、「これまでの単一の対策を取るのではなく、今後あるべき姿を描いて、複合的にセキュリティ対策を場束ね、バランスを再考すべき」(足立氏)と技術、経営が連携したセキュリティ対策が必要であると強調した。
