米Deloitte Touche Tohmatsu(DDT)は米国時間9月18日,金融機関の情報セキュリティについて調査した結果を発表した。それによると,金融機関では,情報セキュリティ問題に対する認識と対応にギャップがあることが明らかになった。調査は,世界の大手金融機関100社の情報技術担当者を対象に実施した。
対象となった金融機関は,セキュリティ問題を認識しており,セキュリティとプライバシを向上させるために必要な措置を理解している。しかし,多くの金融機関がこれらの措置を実行に移していないという。
これらの金融機関において最も回数が多かったセキュリティ侵害は,ウイルスとワーム,電子メール攻撃(スパム),フィッシング/ファーミングによるものだった。これらの問題は,顧客が直接的な要因となっている場合が多い。しかし,回答者の3分の2(66%)は,オンライン・バンキングに使うコンピュータの保護に対して顧客は責任がないと考えていることがわかった。
また,従業員が職権を乱用した意図的な行為,または失敗や怠慢による意図しない行為が要因となるセキュリティ侵害の回数も多かった。91%の回答者は従業員に対する懸念を示しており,79%は情報セキュリティ問題の根本的な原因として人的要因を挙げている。しかし,回答者の22%は過去1年間に従業員向けのセキュリティ・トレーニングを提供しておらず,従業員がセキュリティのニーズに対応できる技術と能力を備えている,と答えた回答者は3分の1(30%)だけだった。
そのほかの主な調査結果は次の通り。
・過去12カ月で最も多かった外部からのセキュリティ侵害は電子メール攻撃だった(57%)
・ほぼすべての回答者(98%)はセキュリティ予算が増額したと答えているが,35%は情報セキュリティに対する投資とビジネス・ニーズの間に大きな隔たりがあると感じている
・情報セキュリティ・プロジェクトの失敗の主な要因として,「優先事項の変更(48%)」および「インテグレーション問題(32%)」が挙げられている
[発表資料へ]
