セキュリティ対策導入の最大の障壁は?
今回、情報セキュリティ対策を導入する際の課題についても調査を行った。その結果、約6割以上の企業が「予算」と回答しており、これに、「導入効果の測定が困難」(35.5%)、「導入作業」(33.3%)が続いている。
実際に導入されている情報セキュリティ対策は、ファイアウォール、ウイルス対策、IDS/IPSなど、いわゆる外部からの脅威を対象とした対策の導入率が高く、情報漏洩対策やセキュリティ情報/イベント管理、脆弱性管理など、内部の脅威を対象とした対策が遅れていることが明らかになった。
こうした状況について、登坂氏は「情報セキュリティ対策は導入状況と導入の課題は関連しているが、それには経営層に投資対効果を求められることがある。投資対効果が、外部脅威への対策はわかりやすいのに対し、内部脅威への対策は見えづらく、それが導入率につながっている」との見解を示した。
企業は何をすべきか?
IDCは今回の調査結果を受けて、「経営者は自社のセキュリティリスクを把握する」「業界内やグループ企業内でセキュリティ対策レベルを平準化する」ことを提言としている。
前者については、半数以上の企業でCIO/CSOを設置しておらず、これらの企業では経営者に対してセキュリティに関する報告が行われていないことを踏まえ、CIOやCSOを車内設置し、セキュリティのリスクを把握することが必要と言える。
とはいえ、規模が小さい企業では、CIOやCSOを設置することは難しいだろう。登坂氏は、そんな企業に対し、「CIOやCSOではないにしても、セキュリティに対する責任者を置いて、経営者とコミュニケーションをとるようにすることが大事」とアドバイスする。
後者については、地政学的な分裂と世界経済の不安定化により、サプライヤーへのサイバー攻撃が頻発し、サプライチェーンのリスクが高まっているとともに、業種や従業員規模によってセキュリティ対策の導入が進んでいる企業と遅れている企業と2極化しているという現状があるという。
こうした問題の解決策として、クラウドサービスを活用することで、業界内やグループ企業内でセキュリティ対策のレベルを上げていくことが必要になっている。
業界内における取り組みとしては、自治体クラウドのような業界でクラウドを構築し、セキュリティゲートウェイを設置して、情報を管理するといったことが考えられるという。
登坂氏は「以前は、クラウドを利用することに対する抵抗感があったが、今は利用の障壁が下がっている」と語る。自社で十分なセキュリティ対策を講じることが難しい企業も、クラウドを活用して、業界全体で投資することで、セキュリティのレベルを引き上げることが可能になるというわけだ。