〜セキュリティ対策強化によって紙媒体へ逃げる社員が5倍に6月6日、株式会社シマンテックは都内で、「企業内個人における情報セキュリティ管理の現状と課題」と題した調査結果を発表した。これは、同社がガートナー ジャパン株式会社の協力を得て実施したリサーチで、ガートナー ジャパン社の持つ約2,700名のパネルに対し調査を実施し、528件の有効回答を得たもの。調査結果をもとにした、ガートナー ジャパン社 中野長昌氏による、企業における情報セキュリティポリシーの機能状況等の分析の後、シマンテック社のラスカウスキー・テルミ氏が、同社の考える今後の対策方法を提案した。──>>すでにセキュリティに対する「第三者意識」から脱した企業内個人ガートナー ジャパン社の、個人情報施行直後の2005年5月と、その2年後の2007年5月のふたつの時点での定点観測調査によると、この2年間で企業のセキュリティ対策は明らかに向上しているという。「企業内個人はすでにセキュリティに関して第三者的な意識からは脱却している」と中野氏は分析した。●2005年、2007年定点観測比較・保護法に関する教育 (2005年)74.4% (2007年)84.1%・システム等見直し (2005年)76.9% (2007年)79.5%・システムへのログイン認証の厳格化 (2005年)45.5% (2007年)78.9%・ノートPCに個人情報をなるべく保有しない (2005年)46.8% (2007年)67.7%・PCハードディスク暗号化 (2005年)37.7% (2007年)58.1%・携帯電話のパスワード認証強化 (2005年)11.2% (2007年)28.8%しかし一方で「取引先・業者などに対する契約条件の見直し」という項目では顕著な数値の低下が見られたという。いったいこの低下の原因は何だろうか。●2005年、2007年定点観測比較取引先などに対する契約条件の見直し (2005年)62.8% (2007年)47.8%>>「広さ」から「深さ」へシフトする情報セキュリティ対策今回の調査によれば、P(計画)、D(実行)、C,A(チェックと監査)という、セキュリティ対策で広く使われるPDCAサイクルを軸に、企業の情報セキュリティポリシーの普及と実施を調査したところ、P→D→C→Aと、段階が深くなればなるほど実施と対応が遅れているという状況が明らかになった。●情報セキュリティポリシーの管理対応状況(P) セキュリティポリシーが社員に公開されている 81.3%(D) セキュリティポリシーの規定を読んだ・講習を受けた 53.3%(C,A) 規定の遵守に対しチェック・監査を受けた 30.1%PDCAサイクルが進むほど遅れているという実態は、情報セキュリティポリシーだけではなく「罰則規定」「PC・情報システムの取扱規定」「電子メール・インターネットの利用規程」「パスワード管理規定」といった、関連する規定すべてに共通した傾向だったという。このことからガートナー ジャパン社 中野氏は「情報セキュリティ管理は計画・策定段階までは進展しているが、実行や監査のレベルにはまだ至っておらず、日本におけるセキュリティ管理の対応はまだ表層的である」と分析した。これからのセキュリティ対策は「広さ(導入・普及)」から、「深さ(遵守・評価)」へ視点が移っていくと語り、取引先などに対する契約条件の見直しの数値が顕著に低下したのは、PDCAサイクルのC,Aが機能していないことが背景にある可能性を示唆した。>>社員の創造性が高まったことで難しくなったセキュリティ管理中野氏は、チェック・監査体制が機能していないひとつの理由を…【執筆:ScanNetSecurity編集部】──(この記事には続きがあります。続きはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
