ITセキュリティの実態

　「サイバー攻撃対策」「データセキュリティ」「クラウドセキュリティ」「モバイルセキュリティ」という四つの観点で、全体の傾向として体制やポリシーがしっかり整備されている企業は50％前後にとどまることがわかった。とくに、クラウドとモバイルにおけるセキュリティは未成熟だ。4項目のうちではサイバー攻撃対策が最も進んでいる。

　昨今の報道の影響からか、標的型攻撃の仕組みや手法を理解しているという比率は62.3％を占めたが、具体的な対策はできていないのが実態だ。重要度の高い情報は端末に保存できないようにしているという回答は24.8％に過ぎなかった。役職別にインシデント発生時の対策状況をたずねると、役員と本部長・部長クラスの間に大きな認識ギャップがあることが明らかになった。現場に近いほうが対策を認識しており、役員層への浸透度の低さが目立つ。

　モバイルセキュリティに関していえば、スマートフォンやタブレットの利用に関する注意喚起とユーザー教育ができている企業は37.2％。セキュリティ上の観点で、デバイスの選択基準、条件が明確になっている企業は42.2％だった。意外なのは中規模企業で、端末へのパスワード、暗証番号の強制適用、リモートロック機能の利用などが、小規模企業に比べて未整備な状況にあることだ。

　全体に、情報漏えいに関する認識は高く、脅威に関する注意喚起、社員教育の実施比率は67％弱だった。デスクトップやノートブックなどのエンドポイント、サーバーには80％近い比率で総合的なセキュリティ対策が施されている。とはいえ、データを守る具体策は十分とはいえない。データ分類を判別して重要データが外部に漏えいするのを防止する対策を採っている企業は、わずか24.1％だった。

　クラウドやモバイルを活用するにあたって、どのようなシステムをクラウドに移行すべきか、どのような目的で導入すべきかという視点が明確になっていない。クラウドに移行すべきかどうかをデータごとに区分している企業は46.2％にとどまった。

留意すべき点

　企業は、サーバーやシステムの重要度を洗い出したうえで、セキュリティ対策を検討すべきだ。脅威のすべてに対策するのは無理なので、優先度の高いものから投資してクラウドやモバイルのメリットを最大化しつつ、脅威やリスクを最小限にすることが重要だ。

（構成／信澤健太）