SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

情報セキュリティ成熟度、半数以上の企業が限定的導入もしくは標準基盤化にとどまっている――IDCが調査

半数以上がITリソース全体のリスク管理を考慮した対策に取り組んでいない

 IDCでは、企業における情報セキュリティに対する取り組みレベル(成熟度)について客観的に評価すること目的として、「IDC MaturityScape: IT Security」フレームワークを開発した。このフレームワークに基づき、「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を評価指標とし、それぞれの成熟度を調査分析した。

 この調査(2016年7月実施)では、ITサービス業界を除く従業員数500人以上の企業に所属し、IT関連部門課長職以上で情報セキュリティ戦略や計画策定に関与する200人に対してWebアンケートを実施し、これらを総合して国内企業の情報セキュリティへの取り組みに関する成熟度を分析している。

 成熟度は、情報セキュリティ対策についてまったく導入していない場合をステージ0(未導入)とし、導入後のユーザー企業の成熟度を、ステージ1(個人依存)、ステージ2(限定的導入)、ステージ3(標準基盤化)、ステージ4(定量的管理)、ステージ5(継続的革新)までの5段階で評価した。

 調査から、国内企業の半数以上(63.2%)が、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっていることが分かった。その理由は、多くの企業が、外部からの脅威に対する防御やコンプライアンス対応に終始しており、ITリソース全体でのリスク管理を考慮した情報セキュリティ対策に取り組んでいないためであると考えている。

 また、セキュリティ部門の幹部のリーダーシップやセキュリティ部門と他部門とのコミュニケーションが弱く、企業の組織全体として情報セキュリティ対策に取り組んでいる企業は少ないとみている。

 特に、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっている企業では、情報セキュリティ責任者やセキュリティ担当幹部は取締役レベルにない企業が多く、事業施策に対する意思決定に参加していないため、ITリソース全体に対してセキュリティ侵害が起きることを前提とした、演習や侵害分析などの運用プロセスの構築や先端的なテクノロジーの導入のための投資がなされていないとIDCは考えている。

「標準基盤化(ステージ3)」より上への移行が米国企業と比較して遅れている

 米国の調査結果と比較すると、国内企業の情報セキュリティへの取り組みは、標準基盤化(ステージ3)よりも上のステージへの移行が遅れている。米国の調査結果では、日本と同様に多くの企業は限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっているものの、日本に比べてさらに上のステージへと移行している状況が見られる。

 米国企業と比較して国内企業が標準基盤化(ステージ3)よりも上のステージへの移行が遅れている理由は、セキュリティ部門幹部のリーダーシップの弱さにあるとIDCではみている。標準基盤化(ステージ3)よりも上のステージでは、ITリソース全体に対する対策が求められ、リスク評価やコスト評価が事業施策の意思決定で考慮される必要がある。

 しかし、情報セキュリティ責任者やセキュリティ担当幹部が取締役レベルにないなど、セキュリティ部門の幹部のリーダーシップの弱さによって、さらに上のステージに進むことを遅らせていると考えている。

 「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性の成熟度分析の結果から、「ビジョン」と「リスク管理」、そして「組織/人材マネジメント」と「運用プロセス」の成熟度分布が似ており、強い関係性が見られた。各特性の成熟度を見ると、「セキュリティテクノロジー」が最も遅れており、次が「組織/人材マネジメント」と「運用プロセス」だった。

 IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「企業の経営者は情報セキュリティ責任者やセキュリティ担当幹部を取締役レベルに置き、情報セキュリティ責任者のリーダーシップの強化を図るべきである。これによって、リスク評価やコスト評価を考慮した事業施策の意思決定が行え、運用プロセスや先進的なテクノロジーの活用への取り組みが進展し、さらに上のステージへと成熟度が高まる」と述べている。

参考資料:国内情報セキュリティの成熟度ステージ分布(作成:IDC Japan)  

 今回の発表は、IDCが発行したレポート「IDC MaturityScape Benchmark:国内情報セキュリティ市場」にその詳細が報告されている。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/8603 2016/10/20 13:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング