 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
「セキュリティポリシー策定企業は多くても、監査までしているのは15%」-ガートナー調査 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
このリサーチは、4月15日から5月30日まで、従業員50人以上のITユーザー企業を対象に行ったもので、有効回答数は1060社。これによると、情報セキュリティポリシーを策定している企業は46.5%で、前年よりも微増しているという。しかし、「本来はポリシーを作ったらすぐ監査すべきだが、監査をしているところは残念ながら15.8%にとどまっている」(石橋氏)のが現状だ。また企業別に見ると、ポリシーを策定している企業のほとんどは従業員2000名以上の大企業であり、小規模になればなるほど少なくなっている。今回のリサーチでは対象になっていないが、セキュリティ監査の実施状況についてもこれは同じではないかという。 また、「企業における情報セキュリティ管理に関する懸念事項」の設問では、社員の私用PCからの情報漏えい・盗難・紛失を懸念する声が43.4%、社員による情報機器の盗難・紛失を懸念する声が42.2%あり、全体の3番目と4番目に高い数字となった。 実際に、モバイル機器やUSBメモリなどの媒体を持ち出しているかどうかを問うた設問では、USBメモリでは16.9%、ノートPCでは22.9%がまだ「常時持ち出されている」状況であることが明らかになった。この数字に、「ある程度持ち出している」「あまり持ち出さない」を加えると持ち出す可能性のあるユーザーは全体の約70%に達しており、石橋氏は「(個人情報保護法などの)法律が施行されても、ビジネスフローは変わっていない」と分析している。 さらに、私物PCを社内へ日常的に持ち込んでいる企業もまだ9.2%ある。この数字は2005年の調査の10.7%とあまり変わっておらず、「私物PCを使って社内の仕事をするユーザーが1割いる。理由には、会社支給のPCのスペックが悪いといった理由もあるだろうが、コンプライアンスが徹底されていないという分析もできる」(石橋氏)とした。 一方で、2005年は、私物PCを持ち込むことが「時々ある」が29.6%、「ほとんどない」が16.4%、「全くない」が43.4%だったのに対して、2006年はそれぞれ19.4%、18.0%、53.5%と、「時々ある」から「全くない」へ10ポイントほど数字が移動している。これについては、「1割程度は、法律が施行されたため(持ち込み状況が)改善された」とコメントしている。 では米国との違いはどうか。これについては、セキュリティポリシーの策定予定がない「認識不足段階」、セキュリティポリシーは策定している「認識段階」、監査をきちんと行っている「修正段階」、認証を取得している「運用安定段階」、に企業を分類した場合、米国のグローバル2000企業で、それぞれ25%、50%、20%、5%となった。日本ではこれが31%、46%、16%、7%。運用安定段階は、認証取得に熱心な日本の方が多いが、修正段階は米国の方が多く、それほど変わらない結果となっている。日本の数字は必ずしも大企業のみを対象としているのではないため、大企業のみを対象とした調査では、さらに差が縮まるかもしれないとした。 なお、日本と米国ではセキュリティ監査の考え方に違いがあるという。米国では情報システム部の部長など特権ユーザーを中心に監査され、一般ユーザーのセキュリティ状況についてはログ分析などのツールを使って担保している。日本では逆に一般ユーザーたる従業員のセキュリティ教育などがメインであり、体制作りを主として行っているとのことである。 ■ URL 株式会社シマンテック http://www.symantec.co.jp/ ガートナージャパン株式会社 http://www.gartner.co.jp/
( 石井 一志 )
|
