セキュリティの認知は進むも意識は低く——シマンテックとガートナーの調査結果 | RBB TODAY

セキュリティの認知は進むも意識は低く——シマンテックとガートナーの調査結果

エンタープライズ その他
ガートナージャパン ITデマンドリサーチ データクエスト バイスプレジデント 中野長昌氏
  • ガートナージャパン ITデマンドリサーチ データクエスト バイスプレジデント 中野長昌氏
  • 個人情報保護法が施行され、2005年から2007年の間に、パスワード認証の厳格化、ノートPCなどに個人情報を保存しないといった意識が高まっている事が紹介された
  • 情報セキュリティポリシー/遵守義務・罰則規定についての認知度は高いが、実際に規約を読んだり講習を受るたという回答数は少なく、遵守に対しチェック・監査を受けたという回答数は、さらに少なくなっている
  • 職位が上になればなるほど情報セキュリティに対する意識が低くなることが紹介された
  • 個人セキュリティ管理の遵守における問題点として、業務効率・生産性が低下した、どこまで遵守すべきか不明確という回答が毎年伸びてきているのが、問題となってきているとのこと
  • モバイル・書類の携帯動向という質問では、紙媒体を携帯すると回答している人が増えているとのこと
  • 日本の情報セキュリティ管理はまだ表層的なもので、改善には上級管理職層への浸透が必要とのこと
 シマンテックは6日、調査会社であるガートナージャパンが実施した、企業内個人における情報セキュリティに対する意識に関する調査結果の説明会を開催した。説明会にはガートナージャパン ITデマンドリサーチ データクエスト バイスプレジデント 中野長昌氏が招かれ調査結果の報告と、その問題点について解説を行った。

 説明会の冒頭に中野氏は今年の3月から5月までの3か月間で起きた情報漏洩の事故・事の特徴について解説した。特徴の1つめは委託先や関連先の企業で起きていること、2つめは携帯電話やUSBメモリーの普及によって起きていること、3つめは会社役員が当事者となっていること、4つめは企業や関連会社に勤めている従業員が退職した後に起きていていることなど。

 2006年11月に日本情報システムユーザー協会が、企業の情報セキュリティの管理体制について調査を行ったところ、63%の企業はプライバシーポリシー、個人情報保護法の規定を策定し、58%の企業はコンプライアンス教育体制が確立されているという結果を報告しているが、実際には情報漏洩は無くなっていない。中野氏は「これからの情報セキュリティ管理は、広さ(導入、普及)ではなく、深さ(遵守・評価)に視点を置いて、もっと議論を深めるべきである」と語った。

 続いて、ガートナーが行った企業内個人における情報セキュリティに関する調査結果についての解説が行われた。なお、ガートナーでは約2700人の回答者を抱えており、今回の調査ではITに関する意識や知識が比較的高い528人からの回答に基づいてグラフが作成されているとのこと。

 最初に紹介されたのは、個人情報保護法が2005年に施行され今年で2年経過し、企業内個人の意識がどう変わったかというものだ。この質問では、2005年から2007年までの間に、PC・携帯電話・情報システムなどのパスワード認証の厳格化、ノートPCなどに個人情報を保存しないといった意識が高まっている事が紹介された。

 また、2005年では回答の無かった、ノートPCを社外に持ち出さない・持ち出すのを控えるという項目が伸びている結果について中野氏は「2005年の時点では、自分は被害者・加害者にはならないという第三者的意識があったと思う。だが、様々な形で情報漏洩の事件・事故が発生していることや、企業による情報セキュリティの強化で、意識の変化が起こっているのだろう。こういう意識の変化は情報セキュリティにプラスに作用している」と語った。

 次に、情報セキュリティポリシー、遵守義務・罰則規定が社内で公開されているかという質問ではいずれも60%を上回る回答を得ているが、実際に規約を読んだり講習を受けたという項目では回答数が減り、さらに遵守に対しチェック・監査を受けたかという項目では40%を下回り、冒頭で中野氏が語った情報セキュリティに対する「深さ」が、浸透していない事が数字で明らかにされた。

 企業内個人を一般社員、管理職、上級管理職という階層で分け、情報セキュリティポリシーや、PC・情報システムの取り扱いについてどのように意識しているかについては、職位が上になればなるほど、情報セキュリティに対する意識が低くなることが紹介された。また、企業規模の違いによる情報セキュリティの意識については、大企業でも中小企業でも大きな差は無いという結果となったそうだ。

 情報セキュリティ管理の遵守における問題点という質問については、個人の業務効率・生産性が低下した、どこまで遵守すべきか不明確という項目の回答が伸びているのが大きな問題となってきているし、この2つの項目は調査するたびに回答数が増えているとのことが語られた。また、現場の意見が反映されていない・見直しが実施されないという項目についても今後高まっていくだろうと述べた。

 企業内個人におけるモバイル・書類の携帯動向という質問については、ノートPC、携帯電話を携帯すると回答した人の割合は2006年と2007年の結果で大きな差は見られないとのこと。これは、いくら情報セキュリティと言っても、携帯電話やノートPCを持ち歩いて使わなければならないというニーズが確実に存在することを表している。

 また、携帯動向の質問の中で中野氏自身も驚いたと語ったのが、紙媒体を持ち歩くと回答した人が大幅に増えていることだ。この結果について中野氏は「ノートPCや記憶媒体はリスクが高く管理もうるさい。そこで抜け道として紙媒体への移行・回帰が始まっているのだろうと考えられる」と語った。なお、この傾向は職位に関係なく共通して伸びてきているそうだ。

 最後に中野氏は日本の情報セキュリティ管理は、計画策定の点では進展しているが、実行・遵守、チェック・監査のレベルには至っておらず、まだ表層的なものであるとし、こういった状況を改善するには、情報セキュリティ意識の低い上級管理者層から浸透させていく必要があるだろうと語った。
《青木聡史》

関連ニュース

特集

page top