8月17日、経済産業省から「情報セキュリティガバナンス実態調査2008」が公開された。同調査は、企業のIT部門を対象に、同省が日本情報システム・ユーザー協会(JUAS)などへ委託して実施したもの。その名のとおり企業における情報セキュリティガバナンスの実施状況について調査し、分析を実施している。
たとえば、アンケートに回答した企業が重点的に取り組んだセキュリティ対策としてもっとも多かったのは「社員の啓発、教育」で30.1%。次いで「顧客から預かった情報の管理」14.7%、「企業情報の管理」14%などだった。
一方で、「情報セキュリティ教育」や「予算確保」について困っているとの回答が目立つなど、企業が直面する情報セキュリティ対策の課題も明らかになっている。
こうした統計調査を見ると、社会全体の大まかな取り組み状況が把握でき、自社との比較もしやすくて便利だが、同報告書が興味深いのは、29社を対象に実施した対面調査の結果についても収録している点だ。
各社の情報セキュリティの責任者に対して1時間弱で実施されたというインタビューのサマリーは、ジャンルごとに短く整理され、単なる対外的な情報セキュリティの取り組みではなく、情報セキュリティに関連した企業統治の視点にたっており、情報セキュリティ責任者の日々向かい合う現実を浮き彫りにしている。
インタビューでは、「15万円のPCに30万円の保守費用がかかることについて説得が難しい」といった悩みが語られる一方、「事故事例による損害額を算出すると経営層を説得しやすい」「教育は難しいが効果も高い」など、実務を通じて得たノウハウなどを多く収録している。
経営層の理解向上、啓発や教育、予算確保、アウトソーシング、情報管理など担当者にとって、問題解決のための糸口やベストプラクティスに利用できるだろう。
また情報セキュリティガバナンスの現状や課題について、インタビューや統計情報をもとに分析し、実践的な対策のアイデアなどをわかりやすく取りまとめており、すぐに活用できる。
情報セキュリティ責任者だけでなく、会社の経営層にもぜひ目を通してもらいたい資料のひとつだ。他社においても情報セキュリティの取り組みが急務として進められている現状はもちろん、情報セキュリティ担当者から上がってくる報告などをより深く理解したり、経営判断にも活かすことができる充実した内容となっている。
情報セキュリティガバナンス実態調査2008
http://www.meti.go.jp/policy/netsecurity/security_governance_jittai_chousa2008.html
経済産業省
http://www.meti.go.jp/
(Security NEXT - 2009/08/24 )
ツイート
PR
関連記事
富士通四国システムズ、WindowsとAndroidのポリシー統制を支援するサービス
事例や最新情報を紹介するセキュリティカンファレンス「Direction 2011」 - スマホやクラウド関連のセッションも
暗号化やキー管理機能なども備えたクラウド管理ツール「enStratus」が提供開始
4分の3が情報漏洩による倒産を懸念 - 半数が攻撃を経験
情報セキュリティ担当者による「日本CISO協会」が発足
OWASPが開発した「SAMM」の翻訳資料が公開に - セキュアなソフト開発に役立つFWを提供
セキュリティ対策で困るのは「教育」と「予算確保」 、4.7%が重大事故を経験 - 経産省調査
企業経営陣における情報セキュリティの行動指針
三菱UFJ証券、業務改善報告書を提出 - 社内処分を実施
みずほ情報総研、グループ会社全体のセキュリティ向上を支援
