IDC Japanは10月19日、国内企業の情報セキュリティ成熟度に関するユーザー調査の結果を発表し、国内ユーザー企業の半数以上である63.2%が、「限定的導入」もしくは「標準基盤化」の段階であることを明らかにした。
同社は、企業における情報セキュリティに対する取り組みの成熟度を客観的に評価するため、「IDC MaturityScape: IT Security」フレームワークを開発。「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5特性を指標に、成熟度をグローバルでの相対評価で算出した。
IDC Japanソフトウェア&セキュリティリサーチマネージャーの登坂恒夫氏
この調査で利用されたフレームワークでは、成熟度を5段階に分けている。決まった予算を持たず、必要に応じて基本的なセキュリティ対策を実施している状態の「個人依存(ステージ1)」、コンプライアンスの観点から専任社員がセキュリティ対策に取り組んでいる「限定的導入(ステージ2)」、法規制と内部リスクアセスメントに対応したセキュリティ基本計画と内部統制を持つ「標準基盤化(ステージ3)」、コンプライアンス対応を強化した基本計画を策定し、費用対効果の高い製品やサービスを導入している「定量的管理(ステージ4)」、そして、企業のセキュリティ管理のために最も効果的で効率的なセキュリティ戦略を立てている「継続的確信(ステージ5)」だ。情報セキュリティ対策についてまったく導入していない状態は「未導入(ステージ0)」としている。
今回の調査で明らかとなったのは、国内ユーザー企業では36.0%が「限定的導入(ステージ2)」、27.2%が「標準基盤化(ステージ3)」の段階であるということだ。また、約2割(20.7%)の企業は、「個人依存(ステージ1)」の段階で、決まったセキュリティ予算を持たず、必要な時にセキュリティ対策を行うという、基本的なセキュリティ戦略とマネジメントが欠如した状態にある。
国内情報セキュリティの成熟度分布
特性別に見ると、「ビジョン」と「リスク管理」は「限定的導入(ステージ2)」と「標準基盤化(ステージ3)」にとどまる傾向が強い。「リスク管理」に関しては、半数の企業がリスクを考慮したセキュリティ対策を実施しておらず、ITリソース全体を通したリスク要件の洗い出しやリスク低減を最適化する取り組みをしている企業も少数という結果となった。
また、「組織/人材マネジメント」と「運用プロセス」はどちらも「限定的導入(ステージ2)」に留まる傾向がある。「運用プロセス」については、セキュリティ侵害が起きることを前提とした、情報セキュリティ対策への取り組みが消極的であるという。
「セキュリティテクノロジー」に関しては、「個人依存(ステージ1)」の割合が他の指標と比べて最も高く、成熟度レベルが低い。「標準基盤化(ステージ3)」以上の企業は3割程度で、先端的なテクノロジを導入している企業は少ないとのこと。
背景には、多くの企業が外部からの脅威への対策とコンプライアンス対応に終止しており、ITリソース全体でのリスク管理を考慮した事業目的や情報セキュリティ目的を持っていないことがある。特に、「限定的導入(ステージ2)」や「標準基盤化(ステージ3)」にとどまる企業では、情報セキュリティ責任者やセキュリティ担当幹部が事業施策に対する意思決定に参加していないため、セキュリティ侵害が起きることを前提とした演習や運用プロセスの構築、先端的なテクノロジ投入への投資がされていないのが問題点ということだ。