15万円のPCに30万円の保守費用、経営層をどう納得させるか

8月17日、経済産業省から「情報セキュリティガバナンス実態調査2008」が公開された。同調査は、企業のIT部門を対象に、同省が日本情報システム・ユーザー協会（JUAS）などへ委託して実施したもの。その名のとおり企業における情報セキュリティガバナンスの実施状況について調査し、分析を実施している。

たとえば、アンケートに回答した企業が重点的に取り組んだセキュリティ対策としてもっとも多かったのは「社員の啓発、教育」で30.1％。次いで「顧客から預かった情報の管理」14.7％、「企業情報の管理」14％などだった。

一方で、「情報セキュリティ教育」や「予算確保」について困っているとの回答が目立つなど、企業が直面する情報セキュリティ対策の課題も明らかになっている。

こうした統計調査を見ると、社会全体の大まかな取り組み状況が把握でき、自社との比較もしやすくて便利だが、同報告書が興味深いのは、29社を対象に実施した対面調査の結果についても収録している点だ。

各社の情報セキュリティの責任者に対して1時間弱で実施されたというインタビューのサマリーは、ジャンルごとに短く整理され、単なる対外的な情報セキュリティの取り組みではなく、情報セキュリティに関連した企業統治の視点にたっており、情報セキュリティ責任者の日々向かい合う現実を浮き彫りにしている。

インタビューでは、「15万円のPCに30万円の保守費用がかかることについて説得が難しい」といった悩みが語られる一方、「事故事例による損害額を算出すると経営層を説得しやすい」「教育は難しいが効果も高い」など、実務を通じて得たノウハウなどを多く収録している。

経営層の理解向上、啓発や教育、予算確保、アウトソーシング、情報管理など担当者にとって、問題解決のための糸口やベストプラクティスに利用できるだろう。

また情報セキュリティガバナンスの現状や課題について、インタビューや統計情報をもとに分析し、実践的な対策のアイデアなどをわかりやすく取りまとめており、すぐに活用できる。

情報セキュリティ責任者だけでなく、会社の経営層にもぜひ目を通してもらいたい資料のひとつだ。他社においても情報セキュリティの取り組みが急務として進められている現状はもちろん、情報セキュリティ担当者から上がってくる報告などをより深く理解したり、経営判断にも活かすことができる充実した内容となっている。

（Security NEXT - 2009/08/24 ）ツイート