Skip to content

セキュリティマガジン TREND PARK

セキュリティアセスメント結果から見る、
企業が講じるべきセキュリティ対策の優先順位

~企業に求められるセキュリティ体制、約50%が未整備という現状が明らかに~


トレンドマイクロが10月10日に発表した「セキュリティアセスメントツール」の集計結果から、企業・団体に求められるセキュリティ体制は、約50%が未整備であり、セキュリティ強化を図る上で必要なユーザ教育も十分でないといった実態が明らかになりました。
セキュリティアセスメントツールは、トレンドマイクロがWeb上で提供する企業向けセキュリティ無料診断ツール。「サイバー攻撃対策」、「クラウドセキュリティ」、「データセキュリティ」、および「モバイルセキュリティ」の4分野におけるセキュリティ対策状況について、25の設問に「はい/いいえ」で回答することで対策状況を可視化し、セキュリティレベルを一層高めるためのポイントをつかむことができます。1月20日のツール公開から8月末日までにアセスメントを実施した延べ1,714社の評価結果から、企業のセキュリティ対策の現状で注目すべき点や、セキュリティ対策を行ううえでの優先順位について解説します。

必要とされるセキュリティ体制は、約50%が未整備

まず、セキュリティ対策の総合成熟度について見ていきましょう。対策総合成熟度は、25の設問によって「セキュリティ知識はあるか」「セキュリティツールを導入しているか」「ポリシーを策定・徹底しているか」「問題が発生した際の対応ルールがあるか」などを明らかにし、スコアリング・数値化しています。各分野、回答企業の平均スコアを見てみると、「サイバー攻撃対策」が54.3%、「データセキュリティ」が48.5%、「クラウドセキュリティ」が47.0%、「モバイルセキュリティ」が45.2%となり、各分野において必要なセキュリティ体制25項目のうち約50%しか整備できていないことがわかりました。昨今、標的型攻撃をはじめとしたサイバー攻撃について報道機関で頻繁に取り上げられ、攻撃に対する認知が高まっている一方で、クラウドやモバイルといった新しい潮流でのセキュリティの対応は遅れている傾向が見られます。

表1 各分野対策総合成熟度

サイバー攻撃対策 54.3%
データセキュリティ 48.5%
クラウドセキュリティ 47.0%
モバイルセキュリティ 45.2%

セキュリティ教育とインシデント時の備えも不十分

セキュリティ強化を図る上で必要なユーザ教育への意識が希薄なことも浮き彫りになりました。たとえば、SNSなどのクラウドサービス利用、スマートフォン・タブレット端末の利用、サイバー犯罪に関するユーザ教育の実施率は、「クラウドセキュリティ」分野では29.4%、「モバイルセキュリティ」では37.2%、「サイバー攻撃対策」では40.2%と、低い結果になりました。

セキュリティを確保するためのポリシーや指針、従業員への周知・徹底に関してはどうでしょうか。4つの分野に共通して言えるのは、「標的型攻撃を受けてしまった」「クラウドのサーバが攻撃された」「情報が漏えいしてしまった」「従業員が貸与しているモバイルデバイスを紛失した」など、問題が発生した際の対応ルールや指揮命令系統を明確化できていないということです。例えば、セキュリティインシデント発生時の対応プロセス文書化の実施スコアを見ると、「サイバー攻撃対策」では48.3%、「クラウドセキュリティ」では33.3%、「データセキュリティ」では36.5%、「モバイルセキュリティ」では33.7%と、インシデント発生時の備えが不十分であることもわかりました。

記事公開日 : 2012.11.29

ページの先頭へ