チェック監査機能不在の企業のセキュリティ対策〜「企業内個人における情報セキュリティ管理の現状と課題」調査結果から | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

チェック監査機能不在の企業のセキュリティ対策〜「企業内個人における情報セキュリティ管理の現状と課題」調査結果から

特集 特集

〜セキュリティ対策強化によって紙媒体へ逃げる社員が5倍に

6月6日、株式会社シマンテックは都内で、「企業内個人における情報セキュリティ管理の現状と課題」と題した調査結果を発表した。これは、同社がガートナー ジャパン株式会社の協力を得て実施したリサーチで、ガートナー ジャパン社の持つ約2,700名のパネルに対し調査を実施し、528件の有効回答を得たもの。

調査結果をもとにした、ガートナー ジャパン社 中野長昌氏による、企業における情報セキュリティポリシーの機能状況等の分析の後、シマンテック社のラスカウスキー・テルミ氏が、同社の考える今後の対策方法を提案した。

──

>>すでにセキュリティに対する「第三者意識」から脱した企業内個人

ガートナー ジャパン社の、個人情報施行直後の2005年5月と、その2年後の2007年5月のふたつの時点での定点観測調査によると、この2年間で企業のセキュリティ対策は明らかに向上しているという。「企業内個人はすでにセキュリティに関して第三者的な意識からは脱却している」と中野氏は分析した。

●2005年、2007年定点観測比較

・保護法に関する教育 (2005年)74.4% (2007年)84.1%
・システム等見直し (2005年)76.9% (2007年)79.5%
・システムへのログイン認証の厳格化 (2005年)45.5% (2007年)78.9%
・ノートPCに個人情報をなるべく保有しない (2005年)46.8% (2007年)67.7%
・PCハードディスク暗号化 (2005年)37.7% (2007年)58.1%
・携帯電話のパスワード認証強化 (2005年)11.2% (2007年)28.8%

しかし一方で「取引先・業者などに対する契約条件の見直し」という項目では顕著な数値の低下が見られたという。いったいこの低下の原因は何だろうか。

●2005年、2007年定点観測比較

取引先などに対する契約条件の見直し (2005年)62.8% (2007年)47.8%


>>「広さ」から「深さ」へシフトする情報セキュリティ対策

今回の調査によれば、P(計画)、D(実行)、C,A(チェックと監査)という、セキュリティ対策で広く使われるPDCAサイクルを軸に、企業の情報セキュリティポリシーの普及と実施を調査したところ、P→D→C→Aと、段階が深くなればなるほど実施と対応が遅れているという状況が明らかになった。

●情報セキュリティポリシーの管理対応状況

(P) セキュリティポリシーが社員に公開されている 81.3%

(D) セキュリティポリシーの規定を読んだ・講習を受けた 53.3%

(C,A) 規定の遵守に対しチェック・監査を受けた 30.1%

PDCAサイクルが進むほど遅れているという実態は、情報セキュリティポリシーだけではなく「罰則規定」「PC・情報システムの取扱規定」「電子メール・インターネットの利用規程」「パスワード管理規定」といった、関連する規定すべてに共通した傾向だったという。

このことからガートナー ジャパン社 中野氏は「情報セキュリティ管理は計画・策定段階までは進展しているが、実行や監査のレベルにはまだ至っておらず、日本におけるセキュリティ管理の対応はまだ表層的である」と分析した。

これからのセキュリティ対策は「広さ(導入・普及)」から、「深さ(遵守・評価)」へ視点が移っていくと語り、取引先などに対する契約条件の見直しの数値が顕著に低下したのは、PDCAサイクルのC,Aが機能していないことが背景にある可能性を示唆した。


>>社員の創造性が高まったことで難しくなったセキュリティ管理

中野氏は、チェック・監査体制が機能していないひとつの理由を…

【執筆:ScanNetSecurity編集部】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×