企業における情報セキュリティ対策状況（2015年）：IT担当者300人に聞きました（5/5 ページ）

[キーマンズネット]

一番の問題点は、投資対効果が見えないために上層部の理解を得づらいこと

　最後に、「情報セキュリティ対策を進める上での課題」について伺った。その結果、1位が「投資対効果が分かりづらい」で44.4％、2位が「セキュリティ対策の推進人材が不足している」42.2％、3位が「従業員のセキュリティ意識が低い」で35.6％、4位が「セキュリティ対策の予算が不足している」で31.1％、5位が「どこまで対応すればよいのか分からない」で22.2％と続いた。

　また、「経営者・役員の意識が低すぎることに頭を悩ませている」といったコメントも寄せられた。人材不足もさることながら、やはり明確な投資対効果を算出できない分、上層部の理解がなかなか得られず、投資を増加することが難しいようだ。

　フリーコメントからは「予算の状況を考慮することも大切であるが、社員の可用性も考慮しなければならない。強化し過ぎることで作業効率が低下する問題もある」といったセキュリティ強化と業務効率との間で悩む声や、「セキュリティポリシーが守られているかどうかはっきりしない」といったポリシー設定後の悩みもある。セキュリティ対策はただ強化すればそれで終わりというわけでなく、その後現実的に運用できるのか、実務における自由度や効率性は適切かなどの考慮も重要になることを忘れてはならない。

　以上、今回は3年前の結果と比較して「企業におけるセキュリティ対策状況」を見てきたが、この3年間の変化としては、主に「情報セキュリティ対策は強化傾向（専任の担当者が増加傾向）」「内部不正への対策に目が向けられるようになった」「事件・事故発生後の対策を意識するようになった」といった項目が挙げられる。

　限られた予算の中で、常に進化するセキュリティ脅威に対抗するには担当者の知識と判断力が重要になる。自社の重要情報を守るためには、十分な知識を持った専任の担当者を付ける、それが難しい場合にはノウハウを持った専門業者に外部委託するのも有効な手だてだ。

　また、セキュリティ対策は従業員のセキュリティ意識に基づくことが一番多いので、担当部門だけでなく経営層を含む全従業員の理解促進を図ることが重要と思われる。