Security&Trust

第6回 読者調査結果発表
〜 情報システムのセキュリティ管理体制はどうなっている? 〜


小柴 豊
@IT マーケティングサービス担当
2003/5/14

 情報システムとインターネットの融合が進む今日、企業におけるセキュリティ管理の重要性が喧伝(けんでん)されている。その一方でネットワーク管理に携わるエンジニアからは、「セキュリティ対策に掛けられるリソース(人員/予算)が少ない」との声もよく聞かれる。果たして企業情報システムのセキュリティ管理体制は、今日どの程度整備されているのだろうか? Security & Trustフォーラムが実施した第6回読者調査から、その実態をレポートしよう。

セキュリティ管理専任部署/担当の設置状況

 まず読者がかかわる情報システムにおける、セキュリティ管理部署/担当の設置状況から見ていこう。図1のとおり、現在「セキュリティ管理専任部署や担当者を設置している」のは、回答全体の34%であった。残り7割弱の読者も何らかのセキュリティ対策にかかわってはいるものの、“ネットワーク管理者がセキュリティ業務も兼任している”のが、大方の状況であるようだ。企業規模などにもよるが、セキュリティの必要範囲がサーバ管理からポリシー構築にまで拡大している現在、情報システムセキュリティを総合的に企画/実行/管理する体制強化が望まれるだろう。

図1 セキュリティ管理専任部署/担当の設置状況(n=271)

IT予算に占めるセキュリティ支出比率

 セキュリティ体制の構成要素として、ヒトの次にカネの状況を見てみよう。読者がかかわるシステムのセキュリティ支出について、IT予算全体のどのくらいの割合を占めているか尋ねた結果が、図2だ。最も多かったのは「5%未満」(31%)であるが、「10〜20%未満」との回答も15%あるなど、バラツキが見られる。参考までに不明回答を除く加重平均を算出すると、全体のセキュリティ支出比率は平均8.9%であった。これを図1の結果別に見ると、“セキュリティ管理部署/担当を設置している”層のセキュリティ支出比率が平均10.4%であったのに対し、“設置見込みがない”層では同6.5%にとどまった。セキュリティを重視する企業とそうでない企業の間には、投入されるリソースに(人的にも予算面でも)大きな差が開きつつあるようだ。

図2 IT予算に占めるセキュリティ支出の比率(n=271)

セキュリティ関連事項の予算化状況

 ところで“セキュリティ支出”という際に、読者のかかわるシステムではどのような費目が予算化されているのだろうか? 図3の桃色棒グラフを見ると、現在は「不正侵入/ウイルス対策製品の導入・保守費」が突出しており、そのほかのサービスや教育費まで予算化されている企業は少ないことが分かる。また同じ項目について“2003年度に最も増加が見込まれるもの”を尋ねても、引き続き不正侵入/ウイルス対策がトップに挙げられた(図3 黄棒)。この分野が注目される理由について読者のコメントを見ると、“不正利用や不正アクセスなどの技術が日進月歩のように進化し、拡大しているから”といった積極的な意見がある半面、“この項目に重点が置かれるというよりは、ほかの項目についてほとんど意識されていない状態である”との声も聞かれた。

 不正侵入/ウイルス対策以外では、今年度重視する項目の2番目に「社員のセキュリティ知識やスキルに関する教育費」が挙げられた点が興味深い。外部からの攻撃に加え、内部スタッフによる情報漏えいなどが話題になる昨今だけに、読者からは“ポリシーなどの策定後の運用が最大の課題である”“社員のみならず協力会社員に対する教育費が増加した”とのコメントも寄せられた。たとえポリシーを構築し、優れたツールを導入したとしても、ユーザーが無知無関心であれば、システムのセキュリティを維持することは難しいだろう。またスタッフのみならず経営者層においても、セキュリティ配慮を欠いたシステム化にどのようなリスクが潜むのか学ばなければ、適正なリソース配置を行うことは困難だ。現状のセキュリティ体制を強化するためには、まず経営者からスタッフの各階層に向けた、セキュリティ教育機会の充実が求められそうだ。

図3 セキュリティ関連事項の予算化状況(n=271)

セキュリティ情報への興味の内容は?

 最後に、読者が業務上興味を持っているセキュリティ情報の内容を紹介しておこう。15個の項目から複数回答で選択してもらったところ、「セキュリティポリシーの策定」をはじめ、「ファイアウォール/IDSなどのログ監視/モニタリング」や「OSや各種ソフトウェアのセキュアな設定/運用ノウハウ」といった項目が上位に挙げられた(図4)。

 セキュリティポリシーに関しては、策定への関心が高い半面、「ISMS/BS7799などの認証取得」に興味を示した読者は全体の3割に満たなかった。認証制度の欠点として認証取得が目的化してしまう傾向があるが、両者の興味度ギャップを見ると、現在求められているのは“お墨付き”ではなく、実務的な必要に迫られたポリシー策定であるようだ。またポリシーの策定プロセスには、定量的なリスク分析も含まれるため、そこから最適なセキュリティ対策費用/予算を算出することも可能だ。今後セキュリティ管理体制を強化するためにも、ポリシー策定への取り組みが重要となるだろう。

図4 業務上興味があるセキュリティ関連情報(複数回答 n=271)

調査概要

  • 調査方法:Security&Trustフォーラムからリンクした Webアンケート
  • 調査期間:2003年3月17日〜4月18日
  • 回答数:475件(うち、セキュリティ対策導入/管理に携わる271件を集計)
関連記事&リンク
【連載】情報セキュリティ運用の基礎知識:経営層にセキュリティの重要性を納得させる
【連載】実践!情報セキュリティポリシー運用
【書評】セキュリティポリシー策定に役立つ4冊!

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間