IT専門調査会社 IDC Japanは、国内のユーザー企業に対し、情報セキュリティ対策の取り組み状況を調査し、成熟度を分析した結果を発表した。これによると、国内のユーザー企業の36.0%が限定的導入(5段階中下から2番目のステージ2)、また27.2%の企業が標準基盤化(5段階中下から3番目のステージ3)の成熟度であることがわかった。
IDCでは、企業における情報セキュリティに対する取り組みレベル(成熟度)について客観的に評価すること目的として、「IDC MaturityScape: IT Security」フレームワークを開発した。このフレームワークに基づき、「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の5つの特性を評価指標とし、それぞれの成熟度を調査分析した。
調査(2016年7月実施)では、ITサービス業界を除く従業員数500人以上の企業に所属し、IT関連部門課長職以上で情報セキュリティ戦略や計画策定に関与する200人に対してWebアンケートを実施し、これらを総合して国内企業の情報セキュリティへの取り組みに関する成熟度を分析している。成熟度は、情報セキュリティ対策についてまったく導入していない場合をステージ0(未導入)とし、導入後のユーザー企業の成熟度を、ステージ1(個人依存)、ステージ2(限定的導入)、ステージ3(標準基盤化)、ステージ4(定量的管理)、ステージ5(継続的革新)までの5段階で評価した。
これによると、国内企業の半数以上(63.2%)が、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっていることがわかった。その理由は、多くの企業が、外部からの脅威に対する防御やコンプライアンス対応に終始しており、ITリソース全体でのリスク管理を考慮した情報セキュリティ対策に取り組んでいないためであると考えているという。
また、セキュリティ部門の幹部のリーダーシップやセキュリティ部門と他部門とのコミュニケーションが弱く、企業の組織全体として情報セキュリティ対策に取り組んでいる企業は少ないとみている。特に、限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっている企業では、情報セキュリティ責任者やセキュリティ担当幹部は取締役レベルにない企業が多く、事業施策に対する意思決定に参加していないため、ITリソース全体に対してセキュリティ侵害が起きることを前提とした演習や侵害分析などの運用プロセスの構築や先端的なテクノロジーの導入のための投資がなされていないとIDCは考えている。(編集担当:慶尾六郎)
