「大規模な企業は，クラッカ（悪意のあるハッカー）やウイルスの被害にあう可能性が小規模企業より高い」などとする調査結果を，米TruSecureが米国時間9月17日に発表した。同社の発行誌「Information Security」が実施した調査である。

　小規模企業はIT予算の約20％をセキュリティ対策に費やしているが，大規模企業は約5％に過ぎない。その結果，大規模企業におけるセキュリティ関連の被害件数は，小規模企業より5倍多いという。

　その他の主な調査結果は次の通り。

・セキュリティに関する一番の懸念事項として，「ウイルス，ワーム，トロイの木馬など，悪意のあるコード」を挙げたセキュリティ・プロフェッショナルは31％に達した。他には「許可されたユーザーのセキュリティ」（23％），「ITインフラと電気通信機器の脆弱性」（15％）などが続いた。

・企業は，ITセキュリティに関する全社的な方針や対策の実施を最優先事項として見なしておらず，ITセキュリティが日々の業務で占める割合も小さい。

・企業のIT部門は，企業規模が大きくなるにつれ，複雑な組織構造の変化に対応できないでいる。規模の拡大と比例して，ユーザー1人当たりおよびマシン一台当たりのセキュリティ予算が指数関数的に減少し，効率的なセキュリティ対策を導入する妨げになっている。

・セキュリティ予算を増額することで，セキュリティ関連の被害件数，被害にあう可能性，被害額などが減るわけではない。しかし，より多くの予算やリソースを割り当てることで，セキュリティ侵害の検出能力は高まる。

・企業のITセキュリティ担当責任者は，全社的なセキュリティ対策を推進するために必要な権限を持っていない。CISO（最高情報セキュリティ責任者）のうち，「役員会に報告義務がある」のはわずか10％。またCISO（最高情報セキュリティ責任者）の88％が「セキュリティ予算の編成を担当している」と回答しているが，「予算を承認する権限を持っている」のは37％に過ぎなかった。

◎関連記事
■「企業のセキュリティ関連支出が増加」，米Vista Researchの調査
■ITセキュリティ予算に影響を与えたのは，9月11日のテロ攻撃より9月18日の「Nimda」
■アンチウイルス・ソフトの不備による企業の損失は数100万ドル規模，米Hurwitz Groupと英MessageLabsが発表
■90％の企業/組織がウイルスなど何らかのアタックを経験，米誌の調査
■「セキュリティ管理サービス市場は年平均25.4％で成長，2005年に22億ドル規模へ」，米IDC
■「企業のセキュリティ予算は10年後に10倍，売上高の4％に」と米ガートナー
■社内ネットワークの「裏口」を守れ
■企業のセキュリティ・インシデント対応を決める3つの要因

[発表資料へ]