同社はこの結果を米国の調査結果と比較した結果も発表。この比較からは、国内企業の情報セキュリティへの取り組みは「標準基盤化(ステージ3)」よりも上のステージへの移行が米国企業に比べて遅れていることが明らかになった。米国の場合、日本と同様に多くの企業は「限定的導入(ステージ2)」か「標準基盤化(ステージ3)」に留まっているものの、その上のステージにも移行している企業が日本よりも多い結果となっている。
特性別の成熟度では、「ビジョン」「組織/人材マネジメント」「セキュリティテクノロジー」において、日本の成熟度レベルが特に低かった。情報セキュリティ責任者やセキュリティ担当幹部が取締役レベルにおらず、セキュリティ担当幹部のリーダーシップが米国と比べて弱い傾向があるようだ。
日米の情報セキュリティ成熟度の比較
これらの調査結果を受けて、IDC Japanソフトウェア&セキュリティリサーチマネージャーの登坂恒夫氏は、日本企業ではリスク低減やコスト低減が情報セキュリティ目的の中に含まれていることが少ないという問題点を指摘。「事業計画全体、リソース全体に対してリスクを予見して対応していくという運用プロセスや製品導入の段階までセキュリティ投資が進んでいない。セキュリティに対する幹部の権限を持たせることが必要になってくる」(登坂氏)として、情報セキュリティ責任者やセキュリティ担当幹部を取締役レベルに置き、リーダーシップの強化を図る必要性を強調。リスク評価やコスト評価が事業施策の意思決定で考慮されることを求めた。リーダーシップが強化されれば、「リスク評価やコスト評価を考慮した事業施策の意思決定が行え、運用プロセスや先端的なテクノロジーの活用への取り組みが進展し、さらに上のステージへと成熟度が高まる」(登坂氏)という。
先端的なテクノロジの例としては、ネットワークレイヤからアプリケーションレイヤまで制御できる次世代ファイアウォールや、非シグネチャベースのマルウェア対策、多要素認証の活用や特権ユーザーへの監視、すべてのITリソースに対する気密性と完全性を確保する暗号化などが挙げられた。
調査結果の分析でも指摘された通り、多くの企業では情報セキュリティ対策への取り組みがコンプライアンスと法規制への対応に終始しているため、リスク管理のもとでセキュリティ侵害が発生することを前提とした情報セキュリティ対策には至っていないことが課題という。そのため、情報セキュリティ基本計画を立案する際には、情報セキュリティの中にリスク低減、コスト低減を含める必要があることも、同社の提言として示された。
調査は、2016年7月に実施。ITサービス企業を除く従業員数500人以上の企業に所属しているIT関連部門課長職以上で、情報セキュリティ戦略や計画策定に関与する200人を対象に、ウェブアンケートで行われた。
