1909人の企業幹部を対象にアンケート調査を実施したところ、96%の回答者は自社がサイバー攻撃に対して準備ができていないと感じている――。これは米アーンスト・アンド・ヤングがまとめた企業のセキュリティ対策に関する調査結果。英ソフォスが同社のブログで取り上げている。今回は、このブログから紹介しよう。
その要因として予算の制約を挙げる回答者は65%と最も多く、年間売上高が1000万ドル未満の小規模企業ではその割合は71%に上昇する。
一方で、68%は自社のセキュリティ部門が一部のニーズにしか対応していないと述べており、セキュリティ部門がより多くの予算を獲得するには、セキュリティ担当者はもっと多くの働きをする必要がありそうだ。
そのほかの問題として、回答者の50%はスキルのある人材がいないことを挙げ、31%は幹部レベルの認識不足も指摘している。
また、脅威の増加も常に企業を悩ませている。昨年、外部からの攻撃が増加した企業は59%、セキュリティインシデントが5%以上増えたという企業は約31%にのぼった。
企業は、セキュリティ侵害の急増に直面しているものの、予算の制限や人材不足により、ニーズを満たしたシステムを導入できずにいる。
しかし、悪いことばかりではない。70%の企業では現在、情報セキュリティポリシーが最高幹部レベルの議題になっていることが調査結果から分かった。10社のうち1社は、情報セキュリティポリシーの責任者が最高経営責任者(CEO)の直属になっている。
セキュリティチームが取締役会への報告を四半期ごとに行っている企業は35%、月間ベースで行っている企業は10%強だった。
また、予算の制約はあるものの、約半数の企業ではセキュリティチームにあてられる金額は実際のところ増えているという。
しかしアーンスト・アンド・ヤングによれば、自社の情報セキュリティ部門が完全にニーズを満たしているという回答者は17%にとどまり、まだまだ道のりは長い。
明らかに改善の余地があることの1つとして、セキュリティ意識が挙げられる。調査では、優先事項のトップ2にセキュリティ意識が入っている企業は23%にとどまり、32%がセキュリティのさまざまな項目の最下位に位置づけていた。
アーンスト・アンド・ヤングは、セキュリティソリューションの改革には、従業員の認識の向上、予算増加、より多くのリソース確保に注力する必要があり、こうした取り組みは、最高幹部レベルによる支持が重要だと指摘する。
調査報告書は、「情報セキュリティは、コンプライアンスの必要条件であり企業に課せられた負担として見なされることが多い。しかし企業幹部は情報セキュリティを自社と顧客に真の恩恵をもたらすことができる良い機会ととらえるべきだ」と、締めくくっている。
