米Ernst & Youngは,企業の情報セキュリティに対する取り組みに関して調査した結果を米国時間9月23日に発表した。それによると,企業のCEOは,情報セキュリティにおけるリスクを認識しながらも,十分な対策を講じていないという。70%以上の企業が,情報セキュリティに関する社内講習や従業員の意識向上を「最も優先すべきこと」としてとらえていなかった。
調査は51カ国の企業1233社を対象に実施したもの。企業は,依然としてウイルスなどの外部からの攻撃は重視しているものの,社内の脅威は見過ごしてしまっている。「ファイアウオールやウイルス保護などの技術は積極的に獲得するが,人的資源への優先的な対処は後回しになっている」(同社)
Ernst & Young社Technology and Security Risk Services部門グローバル・ディレクタのEdwin Bennett氏は「企業は業務をアウトソーシングしているが,セキュリティの責任をアウトソーシングすることはできない」と指摘する。「ITプロバイダを定期的に監査し,情報セキュリティ・ポリシーの順守を監視している企業は3分の1に満たない」(同氏)
また同氏は,「企業が情報セキュリティに対するアプローチを変えるには,経営幹部の基本理念を見直す必要がある。情報セキュリティをCEOレベルの優先事項だと考える企業はわずか20%だった」と述べた。
◎関連記事
■大手企業のセキュリティ責任者などが企業情報システム保護の支援団体を結成
■「セキュリティ・イベント管理ソフトは包括的な製品がまだ存在しない」,米Forrester
■「セキュリティ担当者の66%が『自社ネットワークが100%安全になることはない』と回答」,米調査
■「大企業はネットワークのダウンタイムで年間売上高の3.6%を損失」,米調査会社
■「次はWebアプリケーションが攻撃の対象になる」と米セキュリティ業界の第一人者が語る
■「企業でのモバイル機器のセキュリティ対策,83.6%がガイドラインなし」,米調査
■「職場のセキュリティを心配する米国労働者は約3分の1,若い世代ほど不安を感じている」,米調査
■「社員のセキュリティに対する意識の低さが問題」と米調査
[発表資料へ]
