過半が「リスク管理なし」のセキュリティ、経営層が関与する米国より日本は未熟

[画像のクリックで拡大表示]

　IDC Japanは国内企業の情報セキュリティの取り組み状況に関する調査結果を発表した。

　同社は取り組みの「成熟度」を、全く取り組んでいない「ステージ0（未導入）」から経営層がリスクの予見の下に対策を主導する「ステージ5（継続的革新）」まで6段階に分類している。評価軸は「リスク管理」や「組織／人材マネジメント」など5項目である。

　従業員500人以上の国内企業200社の調査結果で最も多かったのは、リスクを考慮した対策まで到達していない「ステージ2（限定的導入）」で割合は36.0％だった。次いで多かったのは、リスクに管理した対策を導入しているが費用対効果の観点に欠ける「ステージ3（標準基盤化）」で同27.2％だった。

　リスク管理がないままにセキュリティに取り組む企業はステージ1とステージ2の合計で56.7％に達する。「多くの企業が外部からの脅威に対する防御やコンプライアンス対応に終始し、ITリソース全体でのリスク管理を考慮したセキュリティに取り組めていない」。同社は現状をこう分析する。

　米国での調査結果と比べて、ステージ2と3が多い点は似ていたが、4以上の割合は米国が多かった。「日本はセキュリティ担当幹部のリーダーシップが弱い」と同社は分析。ステージ2や3の日本企業の多くはセキュリティ担当幹部が取締役クラスにいないという。