Skip to content

セキュリティマガジン TREND PARK

セキュリティアセスメント結果から見る、
企業が講じるべきセキュリティ対策の優先順位

~企業に求められるセキュリティ体制、約50%が未整備という現状が明らかに~


セキュリティ課題を認識していても、
具体的な対策の導入率は極めて低い

回答者の役職ごとに対策成熟度を見てみましょう。役員クラスの回答者では、4分野のうち最も総合対策成熟度が高い結果となったのは「モバイルセキュリティ」分野でした。この分野では、役員クラスの総合対策成熟度スコアが59.6%なのに対し、本部長・部長クラスは39.7%と約20ポイントという大きな隔たりがあります。個別の質問で見ると「スマートフォンやタブレットを利用するにあたってのメリット・デメリットが明確になっている」の設問で「はい」と回答した役員が70.4%だったのに対し、本部長・部長クラスは34.6%でした。役員の数値は、生産性の向上やコスト削減などのさまざまなビジネスメリットをもたらしてくれるモバイルへの期待の現れであると考えられます。

一方、本部長・部長クラスで最も総合成熟度が高い結果となったのは、「サイバー攻撃対策」分野の63.6%でした。現在危機感の高まっている標的型攻撃を含むサイバー攻撃への対策意識が高いことが伺えます。

対策総合成熟度 役員 本部長・部長クラス
サイバー攻撃対策 48.7% 63.6%
データセキュリティ 48.9% 41.8%
クラウドセキュリティ 49.3% 42.9%
モバイルセキュリティ 59.6% 39.7%

表2 回答者役職別 各分野対策総合成熟度

しかし、各分野におけるリスクや脅威、課題を認識しているからといって、それが具体的な対策ソリューションの導入につながっているわけではないようです。

例えば「サイバー攻撃対策」分野で見ると、「標的型攻撃の仕組み、手法を理解している」とした回答者は62.3%に上り、標的型攻撃リスクへの認識はある程度高いと考えられます。しかしながら、「重要度の高い情報は端末に保存することができないようになっている」「情報漏えい対策製品(DLP)などのデータの送受信をブロックする仕組みを利用して重要な情報の漏えいから守っている」「重要度の高い情報には暗号化が施されている」の設問において「はい」を選択した回答者は、それぞれ24.8%、32.4%、41.3%にとどまっており、標的型攻撃は特定の企業や組織内の情報窃取を主な目的にしているにもかかわらず効果的な対策が取られていないことがわかりました。また、「データセキュリティ」分野をみても、「重要度の高い情報をユーザが利用する端末に保存できないようになっている」と回答したのは18.4%、重要度の高い情報に暗号化を適用している」と回答したのは27.8%にとどまるなど、情報漏えいというキーワードで実際に守らなければならないデータ自体を保護する具体的な対策の導入率は極めて低いという結果になりました。

メリットとリスク、コストのバランスを考慮したセキュリティの実現を

具体的な対策ソリューションが導入できていない原因はいくつか考えられますが、中でも主な原因とみられるのは、企業が社内外に保有する情報やサービス、システムを"重要度"の観点で区分できていないことです。守るべきものの優先順位がつけられていないため、データを保護するために講じるべき対策の必要性を判断できず、なにから手をつけていいかわからない状態に陥っていると考えられます。一方で、対策を行おうとすればするほどコストが発生するため、予算を戦略的に使うにあたってはなおさら優先度の見極めが求められます。

各分野においてセキュリティ対策を講じる上で重要なのは、まず自社にとって価値の高いデータやシステム、守るべきデータ、システムを棚卸しし、それらを脅かすリスクを把握してセキュリティ要件を見極めることです。この際、現場の混乱を招かないよう、経営層や情報システム部門、社会的責任やコンプライアンス意識の高い法務部門から縦断的なチームを組み、主体となってデータの重要度を判断するのが理想です。このプロセスを経て優先度の高いセキュリティ課題から順に対処していけば、セキュリティ投資のバランスも判断しやすくなり、仮に脅威に遭遇してしまっても被害を最小限に抑えられます。

クラウドとモバイルのセキュリティにおいては、「どのような条件で、どんなサービスを利用させるか」といった目的や用途を明確にすることもポイントです。加えて、ルールの適用範囲も設定し、従業員に徹底させることが求められます。たとえば、社内でアクセスできる情報やオンラインストレージへの保存を許容する情報、SNSに公開できる情報、インストールを認めるアプリ、電子メールで送信できる文書などを規定できれば理想です。モバイルセキュリティに関しては、個人所有の端末をビジネスに利用するBYOD(Bring Your Own Device)の形態も広がっており、従業員はポリシー違反を犯して業務にモバイルを使用してしまうケースもあります。このため、違反した際の罰則についても規定しておくとよいでしょう。

図1 セキュリティアセスメントツール 結果レポートイメージ

図1 セキュリティアセスメントツール 結果レポートイメージ

いずれのサービスにおいても、利用することで得られる本来のメリットを最大限に享受し、セキュリティリスクや脅威を最小限に抑えることのできる、自社にとっての最適なバランスを考慮してポリシーを策定することが大切です。また、セキュリティ意識の向上を促すユーザ教育を定期的に実践することも重要です。自社のセキュリティリスクを可視化し、有効な手だてを知りたい企業は、是非一度セキュリティアセスメントツールを活用して課題を把握し、有効で実現可能なセキュリティ対策を講じるための一歩を踏み出すことをお勧めします。

記事公開日 : 2012.11.29

ページの先頭へ