 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
NRIセキュア、企業の情報セキュリティ実態調査を発表 |
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
個人情報保護法への対応は8割が「一通り完了」
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
「企業における情報セキュリティ実態調査」は、2002年から毎年実施しているもので2006年で5回目となる。今回は、東証1部・2部上場企業を中心とする企業約3000社を対象に、5月にアンケート調査を実施した。フォーラムでは、NRIセキュアのセキュリティコンサルタント、村主俊彦氏が、個人情報保護法施行後の取り組みの進展、金融商品取引法(日本版SOX法)への対応意識、モバイルセキュリティ対策、情報セキュリティ対策への投資状況など、調査で明らかになった情報セキュリティの実態について解説した。 今回の調査の大きなポイントとしては、個人情報保護法への対応状況について、「一通り完了した」と考えている企業が80.3%を占めたことが挙げられる。昨年の調査の54.8%から大幅な増加となり、この1年で個人情報保護法対策への意識が急速に高まったことが伺える。業種別では、「通信・情報処理・メディア・コンサルティング」においてはすべての企業が、また「金融」でも9割以上の企業が「一通りの対応を行った」と回答している。 村主氏は、「法律化された後の企業の対応は非常に早い。情報セキュリティポリシーを策定済みの企業は昨年の32.5%から今年は44.1%に増加し、情報セキュリティ教育を実施している企業も44.7%から54.5%に増加している。ただ、その一方で個人情報保護法への対応について、約4割の企業が不安を感じているという実状も今回の調査結果から明らかになった」と説明した。 また、「今後取り組むべき対策では、『実施したセキュリティ対策の有効性評価』が最も多く83.3%を占めた。昨年の調査でも約8割が回答しており、早期に実施するほど得られる効果も高いことから、できるだけ早い時期に取り組みを開始することが推奨される。このほか、『従業員の管理・監視や内部統制の強化』についても74.4%と多くの回答を得た」としている。 情報セキュリティ対策への投資状況を見ると、「大幅に増える見通し」は8.6%から6.2%へ、「かなり増える見通し」は18.4%から11.8%にそれぞれ減少。「昨年は個人情報保護法の施行という大きなイベントがあり、情報セキュリティに対する投資に積極的な企業が多かったが、今年はそれらが一段落したのではないか」(村主氏)と分析している。今後投資を予定している情報セキュリティ対策については、「金融商品取引法(日本版SOX法)への対応」が最も高い割合で、68.4%の企業が投資を計画していると回答した。
モバイルPCのセキュリティ対策では、「インターネットへの接続全般」、「社外からのメールの送受信」、「業務上の訪問先での使用」、「自宅に持ち帰っての使用」などの用途において、2~3割程度の社員に対してのみ利用を許可している企業が多かった。ただ、インターネットカフェなど公共の場所での使用については、7割が「禁止する」と回答し、多くの企業が利用制限していることがわかった。 ノートパソコンに対するセキュリティ対策としては、72.1%の企業がWinnyなどの「ファイル交換ソフトウェアの使用を禁止」すると回答。「今後取り組む予定」をあわせると禁止する企業は9割以上に達した。そして、これに対する具体的な情報漏えい防止対策として、8割以上の企業が「業務における私用PCの使用を禁止」しているほか、「ファイル交換ソフトウェアのインストール・使用を禁止するルールの策定・適用」や、「情報の社外持ち出しルールの策定・適用」を6割以上の企業が実施しているという。
同社セキュリティコンサルタントの鴨志田昭輝氏によると、「2005年度に実施したセキュリティ診断の結果を集計したところ、企業・官公庁のWebサイトのうち約50%で、重要情報に不正アクセスできる致命的な欠陥が存在していることがわかった。これは、依然として多くのWebサイトがセキュリティ上の問題を抱えながら運営されている証拠であり、不正アクセス被害が急増している問題とも大きな関係がある」としている。 また、重要情報に不正アクセスできたWebサイトでは、1)関連チェック不足によるなりすまし、2)権限昇格による管理者機能へのアクセス、3)SQLインジェクションによるデータベースの不正操作、という3つの問題が多く発見されていたという。そして、「これらの問題には、アクセス制限をかけているはずの重要情報に不正アクセスできてしまう、それぞれのWebサイト用に独自開発したプログラムに問題が存在する、開発時に見落とされやすいポイントという共通点があり、情報漏えいにつながる危険性が非常に高い」(鴨志田氏)として注意を促した。 Webサイトのセキュリティを高めるポイントとしては、Webサイトのセキュリティリスクをコントロールするためにマネジメントサイクル(PDCAサイクル)を構築することを挙げた。鴨志田氏は、「まず、現状のセキュリティ強度を把握し、対策が必要な問題点を見極めて対策を実施する。そして、システム開発において守るべきセキュリティ対策をまとめたガイドラインを作成するとともに、その準拠状態をチェックする活動を継続的に行っていくことが大切」と指摘した。
■ URL 株式会社野村総合研究所 http://www.nri.co.jp/ NRIセキュアテクノロジーズ株式会社 http://www.nri-secure.co.jp/ ニュースリリース http://www.nri.co.jp/news/2006/060726_1.html
( 唐沢 正和 )
|
