対策進むもセキュリティ意識は企業規模で格差：情報セキュリティ対策アンケート結果リポート

TechTargetジャパンでは、アンケートを通じて会員の情報セキュリティ対策に関する意識調査を実施。調査結果から、社員への教育を重視するユーザーの姿が浮かび上がってきた。

[堀見誠司，TechTarget]

　「情報をいかに取り扱うか」という課題への取り組みは、企業にとって内部統制や個人情報保護の観点から最優先事項の1つとなっている。

　情報は有効活用すれば大きなビジネスチャンスを生む半面、ずさんな管理をすれば情報漏えいという巨大なリスクを生む、“もろ刃の剣（つるぎ）”である。ひとたび情報漏えい事故が起きれば、個人情報の扱いに対する消費者意識が過敏になっている昨今、企業のブランドイメージが一気に崩れる恐れがある。そればかりか、取引先を含めて信頼を損ない、経営上多大な損害を受けることにもなりかねない。

　今回、TechTargetジャパンの読者を対象に、企業の情報セキュリティ対策に関するアンケートを実施。533件の有効回答を得たが、調査結果から、対策として情報セキュリティに対する社員の意識向上を重要だと考えるユーザーが多いことが明らかになった。同時に、システム面での対策としては、情報へのアクセスを規制する取り組みを優先しようとする傾向が見られた。

見直される情報アクセス管理

　まず、導入済みのセキュリティ対策（複数回答）については、昨今情報セキュリティに対する認識が高まっている背景もあり、大半のユーザーが何らかの情報セキュリティ対策を実施済みであると回答した（図1）。

図1●導入済みの情報セキュリティ対策（複数回答）

　内訳を見ると、ウイルス対策の導入率が97.6％と予想通り最も高かった。ウイルス対策が突出しているものの、それ以外は「物理的なセキュリティ対策」（55.0％）、「セキュリティポリシー強化」（53.5％）、「社員教育」（53.3％）、「メールセキュリティ」（51.6％）が同程度の比率で続き、実施している対策が分散している。逆に「モバイル環境のセキュリティ」や「シンクライアント」といった対策の導入率は低く、情報の持ち出しによる漏えいへの対策はまだ進んでいないようだ。

情報セキュリティ対策はまず社員の教育から

　次に、今後の導入で優先すべき対策の上位2件を問う調査では、最も優先する対策として「社員教育の強化」を挙げたユーザーが21.6％と突出し、その次に優先する対策としては「重要ファイルの暗号化・権限管理」が一番多く、12.4％を占めた。なお、「重要ファイルの暗号化・権限管理」と「IT資産やアクセスログの監視」については、最もあるいは次に優先すべき対策として上位にランクされた（図2）。

図2●今後の導入で優先する情報セキュリティ対策（2項目選択回答）

　これらの調査結果から、システムセキュリティについては、メールセキュリティやアプリケーションの脆弱性への対策は導入がある程度進み、アクセス管理や権限管理、ログ監視といった、機密情報（文書）へのアクセスコントロールの見直しに関心が移っていると考えられる。同時に、ソリューションや技術が比較的進んでいるメールセキュリティの強化をなおも今後の優先対策として挙げるユーザーが一定数以上いることも分かった。セキュリティレベル向上の余地のある対策として、引き続き重要な位置を占めるだろう。

　さらに導入済みまたは優先する対策として、いずれも社員教育を挙げる回答者が目立つ。社員の教育を通じての啓発／意識改革やセキュリティポリシーの強化といった、システム面ではない情報セキュリティ対策を重視していることが読み取れる。ただし、実施率は5割以上であっても今後強化を検討する対策として挙げられていることから、まだ成果を上げていないという現実も浮かび上がってくる。

　また、情報セキュリティ対策を実施する理由として最も多く挙がったのが「顧客からの信頼確保」で、有効回答数の20.7％を占めた（図3）。「企業価値の保全」や「企業の社会的責任」もそれに近い比率となった。その一方で、「法規制対応」「株主からの信頼性確保」や「トップダウンのため」といった理由はその半分以下にとどまり、外的な要因というよりは価値や顧客からの信頼性を保つための企業活動の一環として自主的に実施していることが分かる。

図3●情報セキュリティ対策を実施する主な理由（2項目選択回答）

対策を阻害するのは「コスト」と「生産性」

　情報セキュリティ対策を優先課題として挙げる企業は少なくないが、一方で対策の推進を妨げるさまざまな問題を抱えているのも事実だ。セキュリティ対策を実施する上での障害要因としてユーザーが挙げた上位3項目は、「対策費用の不足」（15.1％）、「社員の理解不足」（14.3％）、「業務生産性の低下」（13.5％）だった（図4）。

図4●情報セキュリティ対策の障害となる要因（2項目選択回答）

　このうち、コストと生産性についてはいずれも、企業が成長し、競争力をつける上で常に取り組むべき課題にかかわるだけに、情報セキュリティ対策を推進する上で無視できない要素である。一般にセキュリティと生産性の両立は難しいとされるが、業務の生産性を犠牲にせずに高いセキュリティレベルを保つソリューションが求められているともいえる。また、社員の理解不足を挙げるユーザーの回答が多かったのは、「社員教育の強化」を今後重視する対策として挙げていたことの根拠になっていると考えることができる。

　逆に、システム面の未整備やノウハウ・スキルの不足を障害要因ととらえる回答は約7～8％と少数にとどまった。

企業規模でセキュリティ意識の差が明確に

　情報セキュリティに対する社内の意識レベルについては、全体として「やや高い」と答えたユーザーが43％で、「非常に高い」の12％を合わせると半数以上がある程度の意識水準に達していると認識しているという結果が出た。

　ただし、これをユーザー企業規模別に見ると、従業員1001人以上の大規模企業のユーザーで「やや高い」「非常に高い」と回答したのが70％以上だったのに対し、100人以下のユーザー企業では約47％と5割に満たなかった。IT系情報サイトの会員が対象であるためか、全体的にセキュリティ意識は高かったが、大企業と中小企業とで意識レベルの差がはっきりと出た格好だ。

図5●情報セキュリティ対策に対する社内の意識レベル（従業員規模別）

---

　前述のように、情報セキュリティ対策の強化は、企業や官公庁、自治体などの組織において今や最も優先すべき課題となっている。しかし、顧客情報の流出や内部関係者による機密情報の不正な持ち出しなど、内外の情報漏えいは依然としてやむ気配がない。これは、いくら情報システム上の対策を施しても、情報を扱う組織の人間の意識が向上しなければ、セキュリティの脅威を取り除くことができないことを示している。事実、いわゆる暴露ウイルスの登場で瞬く間に広まっていった、P2P（Peer to Peer）型ファイル共有ソフト「Winny」による情報流出被害は、自宅PC上に業務データを移して作業するといった社員の情報資産に対する意識の低さが端緒になっているケースがほとんどだ。

　今回の読者調査で重要な対策として位置付けられた情報セキュリティの教育は、社員の意識向上を目的としたものだが、取り組みを強化していくことによって、不正を犯しにくい環境づくりを進めることができる。セキュリティ上の脅威やリスクがますます多様化する中で、情報セキュリティに対する考え方や規定（ポリシー）を見直すことは、種々のセキュリティ対策と同等かそれ以上に、今後大きな位置を占めていくと思われる。

調査概要

• 目的：企業における情報セキュリティ対策の状況調査
• 方法：Webによるアンケート
• 調査対象：TechTargetジャパン会員
• 調査期間：2008年2月11日～2月18日
• 有効回答数：533件

「企業における情報セキュリティ対策の状況調査」のアンケートにご回答いただいた会員の皆さまに限り、電子メールにて詳細な調査リポート（PDF文書形式：回答結果と会員属性のクロス集計含む）を順次お送りいたします。

なお、次回のアンケート調査は2008年4月を予定しており、後日メールなどで告知致します。アンケートにご回答いただくには、会員登録（無料）が必要です。

関連ホワイトペーパー

セキュリティ対策 | 情報漏洩 | 社員教育 | メールセキュリティ