セキュリティ

PwCより、企業のセキュリティ対策に関するレポートを公開

[`evernote` not found]

セキュリティ1

Hiloyanです。こんばんは。

先日PwCから「グローバル情報セキュリティ調査®2014」というレポートが公開されました。

内容については、最後に参考としてリンクしていますが、日本におけるセキュリティ対策の現状と今後における提言が盛り込まれており、共感できる内容でした。

「グローバル情報セキュリティ調査」とは

PwCのホームページによると「グローバル情報セキュリティ調査」は以下のような内容となっています。

世界115カ国、延べ9,600人以上のCEO、CFO、CIO、CSO、IT・情報セキュリティ部門の責任者からデータを収集し、企業の情報セキュリティに関する問題意識、投資動向、対策などについて統計的分析を行った上で、トレンドや企業の規模、業種、地域ごとの特徴を明らかにしています。

なお、内容についてのサマリは、以下のサイトを見ていただくとわかりやすいです。

プライスウォーターハウスクーパース、「グローバル情報セキュリティ調査®2014(日本版)」を発表 | プライスウォーターハウスクーパース株式会社
プライスウォーターハウスクーパース株式会社(本社:東京都中央区、代表取締役社長:椎名 茂)は、2月5日、「グローバル情報セキュリティ調査®2014(日本版)」の結果を発表しました。本調査は、世界最大級 …

グローバルでのセキュリティに関するポイント

このレポートのなかで私が特に気になったのが以下の点です。

1.内部要因のウェイトが高いと認識されている

このレポートの中では、世界のグローバル企業の経営者(CEO,CIOなど)は情報セキュリティインシデントの原因として外部であるハッカー等の脅威(32%)に近いくらいのところで、内部の従業員(31%)や退職者(27%)からの情報の漏えいについての要因としてとらえているということです。

2.モバイル機器への対応の遅れ

この中ではBYOD(個人所有の機器の業務利用)に関して、モバイルに関するセキュリティ戦略が策定されているのは全企業の42%、また、MDM(モバイルデバイス管理)ソフトウェアを導入しているのは39%にとどまっているということです。

3.クラウドに関するポリシー策定の遅れ

企業において何らかの形でのクラウド利用を行っている企業が47%あるにもかかわらず、クラウドに関するポリシーの策定が行われている企業は18%程度とのことです。

今回のアンケート実施において、母集団となる企業はセキュリティに関する意識は一般と同じか高いのではないかと思われますが、これからもセキュリティ面においての課題はいろいろとあるであろうことが見えてきました。

セキュリティ対策というと、以前はウィルス対策のソフト、ファイアウォールなどのインフラ系の対策整備を中心に考えているところが多かったと思うのですが、従業員教育や内部からの情報漏えい対策に力を入れていく必要があるということ。また、モバイル機器やクラウドの利用によってビジネスのやり方が変化してきていることに対しても、対応が取れていく必要があることが課題として示されていました。

日本の事情は?

では、このレポートでは、日本にあるグローバル企業の情報セキュリティ対策についてはどのように述べられているのでしょうか。

このレポートでは日本企業におけるセキュリティ投資は停滞傾向にあり、ウィルス対策ソフト、脆弱性の検知ツール、侵入検知ツールなどのインシデント検知ツールの導入は進んでいるものの、運用が追いついていないため投資が活かされていないということ。また発生したインシデントについては情報システム部門に閉じた範囲での管理となっていて、業界内でのセキュリティ情報連携なども進んでいないと書かれています。

思ったこと

このレポートを読んでみると、セキュリティに関して、短絡的なものの考え方に陥りやすい部分があるのかなと思います。たとえば、うちはウィルス対策やってるからOKとか、セキュリティ対策というと暗号化すればいいとか、パッチ当てとけばいいとかなんか短絡的に対策を考えているところがあるのかなと思います。

かといってセキュリティポリシーを定めればいいかというと、内容の良し悪しもあるのかなと思います。ポリシーにしても、規則・規約にしても準拠していることが妥当な手続きで検証可能なレベルまで表現できているのかという点がないといけないでしょうし。

リテラシーやモラル教育も必要でしょうし、これらの包括的な対応にかかる費用の正当性も表現できないといけないのかなと思います。なかなかに難しい問題だと思います。

これらの問題についていろんな人を巻き込んで、さらには運用まできちんと軌道に乗せようとするとまだまだ課題は山積していると思いました。

(参考)

グローバル情報セキュリティ調査® | プライスウォーターハウスクーパース株式会社
「グローバル情報セキュリティ調査®」は、PwCが「CIO Magazine」、「CSO Magazine」両誌と共同で毎年世界的に実施している、情報セキュリティに関するオンライン調査です。 …

Hiloyan

とある会社に勤めているシステムエンジニアです。 SEの視点から、日々起きていること、思っていることを書き綴ってみます。