ガートナー ジャパンとシマンテックは,ガートナーが今年6月に実施した企業内情報セキュリティに関するアンケート調査の結果を公表した。その内容について,ガートナー ITデマンドリサーチの中野長昌バイス プレジデントは,「セキュリティ対策の規定や計画作りの面では進んでいるものの,実行力やチェック力に欠ける表層的な対策になっている」と指摘する(写真1)。回答したのは企業に勤務する528人である。
調査の結果によると,情報セキュリティのポリシーや罰則規定などについて「社員に公開されている」と答えたのは81.3%。それに対して,実際に「規定を読んだり講習などを受けた」と答えたのは,53.3%と大幅に減少する。「チェックや監査を受けた」と答えた人は30.1%しかいなかった。
中野バイス プレジデントは,「最も問題なのは,経営層のセキュリティに対する意識や対応が低いレベルにあることだ」とみる。職位別にみていくと,「規定を読んだり講習などを受けた」と回答した割合は,一般社員,課長クラス,部長クラスが50%を超えていたのに対して,社長/役員クラスでは31.6%に低下する。「チェックや監査を受けた」と答えた割合も,やはり社長/役員クラスは10~18ポイント低い。
この結果を受けて,シマンテックのテルミ・ラスカウスキー カントリーマネージャは,経営層までセキュリティ対策を浸透させるには,外部による監査を実施すべきだと主張する(写真2)。「情報セキュリティ対策はビジネス倫理やビジネス戦略の一環であり,トップダウンで実施すべきもの。経営層が『自分たちは特別』,『自分は技術者ではないから部下に任せている』といった甘い認識を持っていることが,対策を形骸化させる一因になっている」(ラスカウスキー氏)。
また調査では,情報の持ち運びに紙媒体を使うケースが増えているという実態も明らかになった。企業内情報を紙媒体で「常時携帯」または「ある程度携帯」と回答した割合が,昨年の同調査の27.7%に対して,今回の調査では72.7%と急増した。ガートナーの中野バイス プレジデントは「ノートPCや記憶媒体の持ち出しが禁止されてしまい,業務上紙媒体で持ち歩かざるを得なくなっているのではないか」とみる。
