半数以上がITリソース全体のリスク管理を考慮した対策に取り組んでいない
IDCでは、企業における情報セキュリティに対する取り組みレベル(成熟度)について客観的に評価すること目的として、「IDC MaturityScape: IT Security」フレームワークを開発した。このフレームワークに基づき、「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を評価指標とし、それぞれの成熟度を調査分析した。
この調査(2016年7月実施)では、ITサービス業界を除く従業員数500人以上の企業に所属し、IT関連部門課長職以上で情報セキュリティ戦略や計画策定に関与する200人に対してWebアンケートを実施し、これらを総合して国内企業の情報セキュリティへの取り組みに関する成熟度を分析している。
成熟度は、情報セキュリティ対策についてまったく導入していない場合をステージ0(未導入)とし、導入後のユーザー企業の成熟度を、ステージ1(個人依存)、ステージ2(限定的導入)、ステージ3(標準基盤化)、ステージ4(定量的管理)、ステージ5(継続的革新)までの5段階で評価した。
調査から、国内企業の半数以上(63.2%)が、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっていることが分かった。その理由は、多くの企業が、外部からの脅威に対する防御やコンプライアンス対応に終始しており、ITリソース全体でのリスク管理を考慮した情報セキュリティ対策に取り組んでいないためであると考えている。
また、セキュリティ部門の幹部のリーダーシップやセキュリティ部門と他部門とのコミュニケーションが弱く、企業の組織全体として情報セキュリティ対策に取り組んでいる企業は少ないとみている。
特に、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっている企業では、情報セキュリティ責任者やセキュリティ担当幹部は取締役レベルにない企業が多く、事業施策に対する意思決定に参加していないため、ITリソース全体に対してセキュリティ侵害が起きることを前提とした、演習や侵害分析などの運用プロセスの構築や先端的なテクノロジーの導入のための投資がなされていないとIDCは考えている。
「標準基盤化(ステージ3)」より上への移行が米国企業と比較して遅れている
米国の調査結果と比較すると、国内企業の情報セキュリティへの取り組みは、標準基盤化(ステージ3)よりも上のステージへの移行が遅れている。米国の調査結果では、日本と同様に多くの企業は限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっているものの、日本に比べてさらに上のステージへと移行している状況が見られる。
米国企業と比較して国内企業が標準基盤化(ステージ3)よりも上のステージへの移行が遅れている理由は、セキュリティ部門幹部のリーダーシップの弱さにあるとIDCではみている。標準基盤化(ステージ3)よりも上のステージでは、ITリソース全体に対する対策が求められ、リスク評価やコスト評価が事業施策の意思決定で考慮される必要がある。
しかし、情報セキュリティ責任者やセキュリティ担当幹部が取締役レベルにないなど、セキュリティ部門の幹部のリーダーシップの弱さによって、さらに上のステージに進むことを遅らせていると考えている。
「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性の成熟度分析の結果から、「ビジョン」と「リスク管理」、そして「組織/人材マネジメント」と「運用プロセス」の成熟度分布が似ており、強い関係性が見られた。各特性の成熟度を見ると、「セキュリティテクノロジー」が最も遅れており、次が「組織/人材マネジメント」と「運用プロセス」だった。
IDC Japan ソフトウェア&セキュリティ リサーチマネージャーの登坂恒夫氏は、「企業の経営者は情報セキュリティ責任者やセキュリティ担当幹部を取締役レベルに置き、情報セキュリティ責任者のリーダーシップの強化を図るべきである。これによって、リスク評価やコスト評価を考慮した事業施策の意思決定が行え、運用プロセスや先進的なテクノロジーの活用への取り組みが進展し、さらに上のステージへと成熟度が高まる」と述べている。
今回の発表は、IDCが発行したレポート「IDC MaturityScape Benchmark:国内情報セキュリティ市場」にその詳細が報告されている。
