企業にとってセキュリティ対策はますます重要な課題になっている。個人情報保護法が施行されたこともあり、情報漏洩対策を重視する企業が多い。情報セキュリティ投資も明らかに増加傾向である。

(村主 俊彦=NRIセキュアテクノロジーズ)

 NRIセキュアテクノロジーズでは、企業を対象とした情報セキュリティアンケート調査を2002年から毎年実施している。協力をお願いしている企業は、東証、大証、JASDAQ、マザーズ、ヘラクレスの各市場に上場している企業から、売上高などを基準として抽出した企業である。

 2005年の調査では2967社に質問票を送付し、447社から回答を得た(有効回答率15.1%)。本レポートでは、2005年の調査から、興味深い結果をいくつか紹介する。

主体は情報システム部門


△図を拡大
図1●情報セキュリティへの取り組み体制(複数回答)
 図1は情報セキュリティへの取り組み体制について聞いた結果である。「情報システム部門が担当している」とする企業が最も多く62.0%、続いて「情報セキュリティ監理委員会等の委員会形式」の24.7%となっている。「セキュリティ担当の専任者を任命している」という企業はまだ少なく6.2%にとどまっている。

 業種別にみると、「セキュリティ担当の専任者を任命している」ところは、金融・証券・保険が最も多く23.5%、「情報セキュリティ監理委員会等の委員会形式」については、通信・情報処理・メディアが最も多く62.5%となっている。

 情報セキュリティには、情報システムに関する技術的な問題のほかに、社員教育や組織のマネジメント、情報セキュリティ監査といった課題が含まれることから、それらの課題を担当する専門部署を設置した方が、より包括的かつ効率的な対策の実施が可能になるのではないだろうか。

情報漏洩対策ツールに関心


△図を拡大
図2●情報セキュリティ対策製品やサービスの利用状況
 図2は、情報セキュリティ対策製品やサービスの利用状況の集計結果である。アンチウイルスソフトウエア、ファイアウオールについてはほぼすべての企業で導入されている。そのほかに導入済み(自社運用、アウトソースいずれか)の割合が高いものとしては、VPN機器(73.4%)、Webアプリケーションファイアウオール(35.9%)、PCやサーバーのログ取得ツール(35.4%)、OS・アプリケーションの堅牢化(30.0%)が挙げられる。

 また、導入予定(自社運用またはアウトソース)の割合が高いものとしては、情報の不正な持ち出しを防止するためのツール(45.2%)、PCやサーバーのログ取得ツール(41.8%)、データ/電子メールの暗号化(39.1%)が挙げられる。

 導入済みの割合が高い対策は、外部からの攻撃を防ぐための境界セキュリティに関するものが多くなっているのに対し、導入予定の割合が高い対策は、情報漏洩防止や情報の不正持ち出し防止といった企業内部のセキュリティを高めるための対策が多いことが分かる。

 今後は、境界セキュリティ対策から、情報セキュリティ監査や各種診断などを含む、企業内部のセキュリティを高めるための対策への移行が進展するとともに、企業がそれぞれのニーズに合わせて情報セキュリティ対策を導入するようになると考えられる。

セキュリティ関連投資は増加


△図を拡大
図3●情報セキュリティ関連投資の経年変化
 図3は、情報セキュリティ関連投資の2003年度からの変化を示している。2005年の調査では前年度と比較して、「かなり増やす(+30%~+50%)計画である」とする企業が、7.3%から18.4%へと増加している点が注目される。「大幅に増やす(+50%以上)計画である」とする企業も3.9%から8.6%へと増加している。

 また、「前年比ほぼ同額とする計画である」とする企業が2003年度から年々減少しているのに対し、「前年比で小幅に増やす(+10%~+30%)計画である」とする企業は毎年増加していることが分かる。


△図を拡大
図4●業種別情報セキュリティ関連投資計画
 では、業種別に見るとどうか。それを調査した結果が図4である。「2004年度と比較して大幅に増やす(+50%以上)計画である」とする割合が最も多いのは、通信・情報処理・メディアで、続いて製造業(基礎素材型産業)となっている。「かなり増やす(+30%~+50%)計画である」とを足し合わせた比率では、金融・証券・保険が38.9%で最も高い。

 製造業(基礎素材型産業)以外の業種ではいずれも、「情報セキュリティ投資を増やす(小幅、かなり、大幅のいずれか)」とする企業の割合が50%以上となっている。製造業(基礎素材型産業)では、「2004年度と比較して、ほぼ同額(−10%~+10%)とする計画である」とする割合が最も多く、ほぼ半数の企業がそのように回答している。

 いずれの業種においても、「情報セキュリティ関連投資額を減らす」とする企業は少数にとどまっている点が注目される。

個人情報保護法対応は不十分


△図を拡大
図5●個人情報保護に関する規程の策定状況(業種別)
 2005年4月に個人情報保護法が施行されたが、個人情報保護に関する規程の策定状況はどうか。それについて集計した結果を図5に示す。最も多いのが、「個人情報保護法の施行に伴って新たに策定した」で、「今後、策定を予定している」がそれに次いで多い。

 図にはないが、「個人情報保護法の施行に伴って新たに策定した」という回答は、2004年度は5.6%だった。これが今年の調査では42.9%に増加している。一方で、「策定の予定はない」という回答は2004年度が38%だったのに対し、5.9%に減少している。法律が制定されることによる影響がいかに大きいかを示している。

 それでもなお、ほとんどの業種において、今後策定予定の(現在は策定していない)企業が3割~4割程度存在することから、同じ業種でも対応の二極化が進んでいることがうかがえる。

 また、図にはないが、調査では個人情報保護に関する規定の策定状況について、個人情報保有件数が5000件以上の個人情報取扱事業者と、それ以外の事業者(個人情報保有件数が5000件未満)とに分けても聞いている。その結果、個人情報取扱事業者では、いずれの業種でも6割以上が策定済みと回答している。特に、通信・情報処理・メディアではすべての企業が、建設・土木・不動産および金融・証券・保険では9割以上の企業が、それぞれ策定済みとなっている点が注目される。

企業によって温度差が大きい


△図を拡大
図6●個人情報取扱事業者とそれ以外の事業者における個人情報保護法への対応状況
 図6は、個人情報保護法への対応状況について、個人情報取扱事業者とそれ以外の事業者に分けて調べた結果だ。個人情報取扱事業者では、「一通りの対応が完了した」と考えている企業の割合が25.4%(10.3%+15.1%)、「一部対応できていない」または「ほとんど対応できていない」とする企業の割合がそれぞれ19.4%、12.9%であるのに対し、個人情報取扱事業者以外の事業者ではそれぞれ14.9%(5.4%+9.5%)、20.3%、37.2%となっている。個人情報取扱事業者とそれ以外の事業者とでは、取り組み状況に大きな違いがある。

 個人情報取扱事業者では、「一通りの対応が完了し、対応プロセスをPDCAサイクル(plan-do-check-act-cycle)に組み込み、継続的に見直し・改善できる状態になっている」という回答も1割以上ある。

 2005年4月の個人情報保護法の完全施行後も、個人情報漏洩事件や、漏洩にまでは至らないものの個人情報を含む資産の不適切な処理に関する実態が数多く報じられている。個人情報保護法には業務停止等の罰則規定があるわけではないが、万が一漏洩してしまった場合には、信用の失墜による売り上げの減少など、業績への影響は少なくないであろう。そのような損失を最小限に留め、取引先との信頼関係を良好に保つためにも、最低限の対策を実施しておくことが強く望まれる。

 2005年は個人情報保護法の完全施行という大きな節目の年であると同時に、企業における情報セキュリティ対策が、ファイアウオールやアンチウイルスソフトといったこれまでの横並びの対策から、それぞれの企業の事業形態や保有する情報資産に応じた対策への移行を開始する年でもあることが、本調査結果からは伺えた。

 情報セキュリティ対策を効率的に実施するためには、まずは自身の状況や課題をよく知るということが大事なのではないだろうか。

 2005年度調査では、本稿で紹介した項目のほかに、情報セキュリティポリシーの策定状況や情報セキュリティ監査の実施状況などについても調べている。これらの調査結果を含む全レポートの詳細については、NRIセキュアテクノロジーズのWebサイトを参照していただきたい。


■村主 俊彦(すぐり としひこ)
2001年NRIセキュアテクノロジーズ入社。情報セキュリティにかかわる調査およびコンサルティングに一貫して従事している。