Security&Trust
第6回 読者調査結果発表
〜 情報システムのセキュリティ管理体制はどうなっている? 〜
小柴 豊
@IT マーケティングサービス担当
2003/5/14
情報システムとインターネットの融合が進む今日、企業におけるセキュリティ管理の重要性が喧伝(けんでん)されている。その一方でネットワーク管理に携わるエンジニアからは、「セキュリティ対策に掛けられるリソース(人員/予算)が少ない」との声もよく聞かれる。果たして企業情報システムのセキュリティ管理体制は、今日どの程度整備されているのだろうか? Security & Trustフォーラムが実施した第6回読者調査から、その実態をレポートしよう。
■セキュリティ管理専任部署/担当の設置状況
まず読者がかかわる情報システムにおける、セキュリティ管理部署/担当の設置状況から見ていこう。図1のとおり、現在「セキュリティ管理専任部署や担当者を設置している」のは、回答全体の34%であった。残り7割弱の読者も何らかのセキュリティ対策にかかわってはいるものの、“ネットワーク管理者がセキュリティ業務も兼任している”のが、大方の状況であるようだ。企業規模などにもよるが、セキュリティの必要範囲がサーバ管理からポリシー構築にまで拡大している現在、情報システムセキュリティを総合的に企画/実行/管理する体制強化が望まれるだろう。
|
| 図1 セキュリティ管理専任部署/担当の設置状況(n=271) |
■IT予算に占めるセキュリティ支出比率
セキュリティ体制の構成要素として、ヒトの次にカネの状況を見てみよう。読者がかかわるシステムのセキュリティ支出について、IT予算全体のどのくらいの割合を占めているか尋ねた結果が、図2だ。最も多かったのは「5%未満」(31%)であるが、「10〜20%未満」との回答も15%あるなど、バラツキが見られる。参考までに不明回答を除く加重平均を算出すると、全体のセキュリティ支出比率は平均8.9%であった。これを図1の結果別に見ると、“セキュリティ管理部署/担当を設置している”層のセキュリティ支出比率が平均10.4%であったのに対し、“設置見込みがない”層では同6.5%にとどまった。セキュリティを重視する企業とそうでない企業の間には、投入されるリソースに(人的にも予算面でも)大きな差が開きつつあるようだ。
 |
| 図2 IT予算に占めるセキュリティ支出の比率(n=271) |
■セキュリティ関連事項の予算化状況
ところで“セキュリティ支出”という際に、読者のかかわるシステムではどのような費目が予算化されているのだろうか? 図3の桃色棒グラフを見ると、現在は「不正侵入/ウイルス対策製品の導入・保守費」が突出しており、そのほかのサービスや教育費まで予算化されている企業は少ないことが分かる。また同じ項目について“2003年度に最も増加が見込まれるもの”を尋ねても、引き続き不正侵入/ウイルス対策がトップに挙げられた(図3 黄棒)。この分野が注目される理由について読者のコメントを見ると、“不正利用や不正アクセスなどの技術が日進月歩のように進化し、拡大しているから”といった積極的な意見がある半面、“この項目に重点が置かれるというよりは、ほかの項目についてほとんど意識されていない状態である”との声も聞かれた。
不正侵入/ウイルス対策以外では、今年度重視する項目の2番目に「社員のセキュリティ知識やスキルに関する教育費」が挙げられた点が興味深い。外部からの攻撃に加え、内部スタッフによる情報漏えいなどが話題になる昨今だけに、読者からは“ポリシーなどの策定後の運用が最大の課題である”“社員のみならず協力会社員に対する教育費が増加した”とのコメントも寄せられた。たとえポリシーを構築し、優れたツールを導入したとしても、ユーザーが無知無関心であれば、システムのセキュリティを維持することは難しいだろう。またスタッフのみならず経営者層においても、セキュリティ配慮を欠いたシステム化にどのようなリスクが潜むのか学ばなければ、適正なリソース配置を行うことは困難だ。現状のセキュリティ体制を強化するためには、まず経営者からスタッフの各階層に向けた、セキュリティ教育機会の充実が求められそうだ。
 |
| 図3 セキュリティ関連事項の予算化状況(n=271) |
■セキュリティ情報への興味の内容は?
最後に、読者が業務上興味を持っているセキュリティ情報の内容を紹介しておこう。15個の項目から複数回答で選択してもらったところ、「セキュリティポリシーの策定」をはじめ、「ファイアウォール/IDSなどのログ監視/モニタリング」や「OSや各種ソフトウェアのセキュアな設定/運用ノウハウ」といった項目が上位に挙げられた(図4)。
セキュリティポリシーに関しては、策定への関心が高い半面、「ISMS/BS7799などの認証取得」に興味を示した読者は全体の3割に満たなかった。認証制度の欠点として認証取得が目的化してしまう傾向があるが、両者の興味度ギャップを見ると、現在求められているのは“お墨付き”ではなく、実務的な必要に迫られたポリシー策定であるようだ。またポリシーの策定プロセスには、定量的なリスク分析も含まれるため、そこから最適なセキュリティ対策費用/予算を算出することも可能だ。今後セキュリティ管理体制を強化するためにも、ポリシー策定への取り組みが重要となるだろう。
 |
| 図4 業務上興味があるセキュリティ関連情報(複数回答 n=271) |
■調査概要
- 調査方法:Security&Trustフォーラムからリンクした Webアンケート
- 調査期間:2003年3月17日〜4月18日
- 回答数:475件(うち、セキュリティ対策導入/管理に携わる271件を集計)
| 関連記事&リンク |
| 【連載】情報セキュリティ運用の基礎知識:経営層にセキュリティの重要性を納得させる |
| 【連載】実践!情報セキュリティポリシー運用 |
| 【書評】セキュリティポリシー策定に役立つ4冊! |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
