IDC Japanは10月19日、国内企業のセキュリティ成熟度の調査結果を発表した。これによると、5段階の成熟度判定のうち、ステージ2の「限定的導入」、ステージ3の「標準基盤化」にとどまる企業が半数以上を占めていたという。

セキュリティテクノロジーで日米に極端な差

IDC Japanは、従業員数500名以上の企業のIT部門課長職以上200名にWebアンケート調査を実施。同社の評価フレームワーク「IDC MaturityScape:IT Security」に基づいて「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の観点で成熟度を判定した。

5段階は、ステージ1が「個人依存」、ステージ2が「限定的導入」、ステージ3が「標準基盤化」、ステージ4が「定量的管理」、ステージ5が「継続的革新」と定義。ステージ1に位置する企業が20.7%、ステージ2が36.0%、ステージ3が27.2%、ステージ4が13.4%、ステージ5が2.6%だった。

日本のセキュリティ成熟度調査結果

米国との比較では、ステージ1の割合が7.9%、ステージ2の割合が3.6%多く、逆にステージ4が5.5%、ステージ5が4.9%少ないなど、日本企業の取り組みの遅れが見られている。これを特性別に比較すると、ビジョンと組織/人材マネジメント、セキュリティテクノロジーの観点で日本企業の後退が見られており、特にセキュリティテクノロジーの採用では、日本のステージ4と5の合計が12.0%であるのに対し、米国は合計29.6%と大差が付いていた。

日本が米国に比べ遅れている理由は「担当者のリーダーシップ」

記者説明会でIDC Japan ソフトウェア&セキュリティリサーチマネージャーの登坂 恒夫氏が、各ステージの状況や、この調査から見える課題について解説した。

登坂氏によると、ステージごとの特徴は以下の通り。

  • ステージ1「個人依存」……予算を持たず、場当たり的なセキュリティ対策が多い。基礎的なセキュリティ戦略やマネジメントが欠如している
  • ステージ2「限定的導入」……セキュリティ予算があり、対策も行っている。ただしコンプライアンス観点でやっているに過ぎず、監査をパスするための導入
  • ステージ3「標準基盤化」……セキュリティの基本計画を策定し、内部統制も行っている。ただ、事業価値の創出やITによる生産性向上のためのリスク管理は行っていない
  • ステージ4「定量的管理」……コンプライアンス対応を強化したセキュリティ基本計画の策定。加えて、費用対効果の高いソリューションも導入している。ビジネスにセキュリティを組み込んでリスク管理も行っているものの、コンテキストを理解していない
  • ステージ5「継続的革新」……リスクをビジネス価値提案の要素と認識し、セキュリティ戦略を立てる。IT全体に対して、セキュリティ侵害を前提とするのが特徴

特性別では、ビジョンとリスク管理、組織/人材マネジメントと運用プロセスに近い傾向が見られていた。ビジョンは事業や情報セキュリティの目的を表す項目で、リスク管理はリスク管理に対する取り組みや評価手法を表す。

「目的を持ってセキュリティ対策を行わなければいけないにも関わらず、リスク管理を考慮していないケースが多い。ステージ3よりも高いステージは2割に満たない状況で、全体としてリスク要件を洗い出し、コスト意識や費用対効果の分析を行わないことには、ステージ4、5へと移ることは難しいだろう」(登坂氏)

特性別のステージの割合