企業のセキュリティ課題は社員のリテラシーと投資評価：経産省調査にみる情報セキュリティ対策の今（1/2 ページ）

経済産業省が公開した2008年の情報セキュリティガバナンス実態調査では、経営課題やセキュリティルール、技術的対策などについて、国内企業が抱える現状が明らかになった。調査結果の詳報を2回に分けて紹介する。

[ITmedia]

　企業での情報セキュリティ対策の重要性が高まる中、国内企業における取り組みの現状はどのようになっているのだろうか。経済産業省がこのほど公開した「情報セキュリティガバナンス実態調査2008 調査報告書」からは、経営課題やルール、ポリシーの運用、技術的対策の実情などについて詳しい実態が明らかになった。調査の詳報を2回に分けて紹介しよう。

　この調査は、三菱総合研究所が経済産業省から委託を受け、日本情報システム・ユーザー協会（JUAS）が会員企業のIT部門を対象に2008年12月に実施した。729社から得た有効回答を集計した。本記事では、情報セキュリティ対策の概況やルール運用などについて取り上げる。

動機は事故の脅威とコンプライアンス

　まず、情報セキュリティ対策に取り組む動機は「情報セキュリティに関連した事故への脅威」（64.3％＝上位2つを回答した企業の合算、以下同じ）と、「企業としての社会的責任の履行」（57.6％）が半数以上を占め、以下は「社員の情報セキュリティリテラシーの低さ」（19.0％）、「経営トップによる指示」（17.6％）、「IT依存度の向上による危機の増幅」（16.1％）となった。前回（2006年）の調査に比べて、経営トップによる指示の回答は4.3％増加したが、それ以外はいずれも前回から減少した。

　重点的に取り組んだ結果として解決した内容では、「社内の啓発・教育」（60.1％）が最も多く、「企業情報の管理」（27.4％）、「セキュリティ予算の確保」（26.8％）、「顧客から預かった情報の管理」（26.1％）、「国内グループ企業のセキュリティ管理」（21.5％）の順となった。

　対策上の悩みでは、「セキュリティ予算の確保」（39.4％）や「社内の教育・啓発」（38.7％）、「人材の確保」（33.3％）との回答が目立っている。以下は「投資評価の設定」（21.2％）、「経営層の理解」（19.5％）が続いた。

情報セキュリティ対策取り組み上の状況、貴社の情報セキュリティ対策取り組みについて、お困りの項目（出展：「情報セキュリティガバナンス実態調査2008 調査報告書」）

　対策コストについては、「客観的な評価指標が少なく、適正水準がどのレベルかが分からず困っている」（71.0％）や、「情報セキュリティの範囲が明確でなく、算出に苦労している」（68.9％）が半数以上を占め、「個別の管理費、事業費の一部として存在するので、正確には把握していない」（37.8％）との回答が続く。

　対策の副次的な効果では、「情報管理の徹底」（75.6％）と「従業員の意識向上」（72.7％）、「企業価値の向上」（37.6％）が大半を占めた。

原因は人的ミス

　過去3年間での情報セキュリティに関係する事故の状況では、「重大事故があった」（4.7％）、「軽微な事故が幾つかあった」（27.9％）、「ほとんど事故は経験していない」（67.4％）だった。

　経験した事故の原因は「社員による取り扱い上の不注意」（81.1％）が最も多い。以下は、「盗難などの不可抗力」（47.0％）、「システム運用などによる人間系のミス」（34.4％）、「故意による漏えい、持ち出し」（15.3％）、「業務委託先からの漏えい」（12.2％）となった。

事故を経験された場合、その原因と対策は何と考えられますか・原因（出展：「情報セキュリティガバナンス実態調査2008 調査報告書」）

　対策は「社員の情報セキュリティリテラシーの向上」（69.4％）が最多で、以下は「会社全体での情報セキュリティ対策の推進」（43.7％）、「詳細な情報セキュリティ管理ルールの制定と順守」（40.1％）、「対策状況の再評価、モニタリングの実施」（19.1％）が続く。

　情報セキュリティ対策では、社内ルールや従業員の意識を重視する傾向が強く、コスト面では投資効果を明確に把握できない点に悩みを抱える実情が浮き彫りとなっている。