企業における情報セキュリティ対策状況（2016年）／後編：IT担当者300人に聞きました（3/3 ページ）

[キーマンズネット]

「セキュリティリスクは評価できたが対策予算が不十分」が30％超

　最後に、「情報セキュリティのリスクとその対策、問題点について当てはまるもの（複数回答）」を選んでもらった。「リスクへの具体的な対策方法は分かるが、予算の制約により実行できない（31.0％）」「特に課題はない（28.8％）」「リスクは分かるが、具体的な対策方法が分からない（15.4％）」「リスクへの具体的な対策方法は分かるが、予算以外の問題で実行できない（11.9％）」「どのようなリスクが存在しているのか分からない（9.1％）」という順となった（図3）。

　「やらなければならないことは分かっているが予算上の制約で実行できない」とした回答者が30％を超えている。一方で「特に課題はない」という回答も30％近くあり、ゼロデイ攻撃や標的型攻撃のように対策が難しい脅威に対して楽観的に過ぎる感は否めない。

　この他、情報セキュリティに関して予算以外でどんな課題や悩みがあるのか、フリーコメントから主立ったものを見ていこう。

　従業員全般に関する意見、視点としては、「人によりセキュリティに対する認識度合いが異なる。意識が低い人は、開いてはいけない添付ファイルを開いてしまう」「不正確な知識に基づいて操作をする者が多いため、当事者には事故を起こしているという自覚がない場合が多い」「従業員のセキュリティ意識に課題がある」「従業員に対するモラル教育、セキュリティ教育が必要」「全社へのセキュリティ教育および抜き打ち検査、訓練の実施なども検討すべき」といった危機意識が見られる。

　同時に、経営層に対する課題としては、「役員、社員、パートナー全従業員の教育」「経営と担当者のリテラシー」「セキュリティ強化に関する理解が薄い」「経営層に情報セキュリティの重要性を認識してもらいたい」「役職者の教育が難しい」「経営層に情報セキュリティリスクへの理解が足りない」といった意見が散見された。

　また、人に関する課題以外には、「実際に何かのインシデントが発生しないと自社の弱みがどこにあるかが分からない」「どこまでやればよいという到達点が見えない」といった意見が見られた。この他、「廃棄品からの漏えい対策も検討が必要と感じている」といったITシステム以外でのセキュリティ対策に関する意見も寄せられた。

図3 情報セキュリティのリスクとその対策について当てはまるもの

　前編では、「自社のセキュリティ対応では、専門部署を設置し自社運用と外部委託を使い分ける傾向が強まっている」こと、「情報セキュリティに関する事件・事故のなかでは、依然『紛失・盗難』が頭痛の種」であること、「情報セキュリティ対策がより浸透するなか、対人対策の実施率が着実に上昇している」ことなどが明らかになった。

　後編では、IT製品・サービス全般の「導入」に関する2016年度予算は、「増加」が「減少」を8ポイント上回ったこと、「導入」に関する2016年度予算の多くがセキュリティ対策に回っている様子であること、情報セキュリティリスクに対しては、ある程度のセキュリティリスク評価ができていながら対策予算がないという回答者が30％以上、リスク評価が不十分で課題が明確化できていないとする回答者が10％弱いることが分かった。