「大規模企業はセキュリティ侵害の危険が，小規模企業の5倍」，米誌の調査から

早坂利之

2002.09.21

　「大規模な企業は，クラッカ（悪意のあるハッカー）やウイルスの被害にあう可能性が小規模企業より高い」などとする調査結果を，米TruSecureが米国時間9月17日に発表した。同社の発行誌「Information Security」が実施した調査である。

　小規模企業はIT予算の約20％をセキュリティ対策に費やしているが，大規模企業は約5％に過ぎない。その結果，大規模企業におけるセキュリティ関連の被害件数は，小規模企業より5倍多いという。

　その他の主な調査結果は次の通り。

・セキュリティに関する一番の懸念事項として，「ウイルス，ワーム，トロイの木馬など，悪意のあるコード」を挙げたセキュリティ・プロフェッショナルは31％に達した。他には「許可されたユーザーのセキュリティ」（23％），「ITインフラと電気通信機器の脆弱性」（15％）などが続いた。

・企業は，ITセキュリティに関する全社的な方針や対策の実施を最優先事項として見なしておらず，ITセキュリティが日々の業務で占める割合も小さい。

・企業のIT部門は，企業規模が大きくなるにつれ，複雑な組織構造の変化に対応できないでいる。規模の拡大と比例して，ユーザー1人当たりおよびマシン一台当たりのセキュリティ予算が指数関数的に減少し，効率的なセキュリティ対策を導入する妨げになっている。

・セキュリティ予算を増額することで，セキュリティ関連の被害件数，被害にあう可能性，被害額などが減るわけではない。しかし，より多くの予算やリソースを割り当てることで，セキュリティ侵害の検出能力は高まる。

・企業のITセキュリティ担当責任者は，全社的なセキュリティ対策を推進するために必要な権限を持っていない。CISO（最高情報セキュリティ責任者）のうち，「役員会に報告義務がある」のはわずか10％。またCISO（最高情報セキュリティ責任者）の88％が「セキュリティ予算の編成を担当している」と回答しているが，「予算を承認する権限を持っている」のは37％に過ぎなかった。