企業のリーダー自らがリスクを定期的に評価することが必須--日本IBM CISO(最高情報セキュリティ責任者)の我妻氏が解説

EnterpriseZine / 2013年11月12日 19時35分

 日本IBMは11月6日、企業のCISO(最高情報セキュリティ責任者)に対する意識調査「2013年 IBM 最高情報セキュリティー責任者アセスメント」の結果を発表した。2012年に実施した「CISO Study 2012 セキュリティーとレジリエンス」に続いて2回目となる調査で、前回調査で回答した各国のセキュリティリーダーに対してより踏み込んだインタビューを行ったもの。

■モバイルセキュリティに大きな注目と投資が集まっている

 日本IBMでCISOを務めるグローバル・テクノロジー・サービス事業 ITSデリバリー ユーザー&コミュニケーション・サービス担当理事の我妻三佳氏は、調査結果のポイントについて「CISOが企業のなかではっきりとしたポジションを持って取り組みを進めているケースは多くはない。現状では、CEOやCFO、COO、CIOなどの意見の調整役になっている。課題としては、セキュリティの評価をビジネスにどうフィードバックするかに頭を悩ませている」と説明した。

 調査対象の役職はCISOが42%、ITマネージャが24%、ITディレクターが20%、IT担当VP/エグゼクティブVPが15%。回答企業の83%が大企業(Large Enterprise)で、国別では米国、英国、ドイツ、日本の41名のセキュリティリーダーに聞いている。調査結果は、テクノロジーの利用動向についての「テクノロジー」、ビジネスへの関わりについての「ビジネス規範」、セキュリティリスクやビジネス・リスクをどう評価をするかについての「指標」の3つのカテゴリーに分けて行われた。

 まず、テクノロジーについては、IDやアクセス管理、ネットワークセキュリティを重視しており、戦略的な先端技術はまだ「非常に重要」とされる位置にまでは来ていないことがわかった。たとえば、「最重要」(上位3つの選択式)とされたテクノロジーは、多い順に、「企業のIDとアクセス管理」が51%、「ネットワーク侵入防止」が39%、ネットワーク脆弱性スキャンが39%などとなった。より戦略的、先進的な技術とされる「高度なマルウェア検出」は20%、セキュリティー・インテリジェンス・アナリティクスは15%にとどまっていた。報告書では「先進的なマルウェア検出やセキュリティ・インテリジェンス分析のようなものより、基礎的なテクノロジーのほうが重要と考えられている」としている。

 また、クラウドのセキュリティについては、76%の回答者が何らかのクラウド・セキュリティ・サービスを使用しており、導入を増やそうとしていることがわかった。「導入見込みが高い」サービスとしては、多い順に「アプリケーション脅威防止」が24%、「データ・モニタリングと監査」が20%、「連携したIDとアクセス管理」が15%となった。

 クラウドとともに懸念されるモバイルのセキュリティについては、「大きな注目と投資が集まっている」という。全体の25%の回答者が過去1年間にモバイルのセキュリティに関連する製品の導入を済ませており、76%はモバイルデバイスやデバイス内に保存されている機密情報の盗難が懸念事項だと回答した。

齋藤公二[著]

EnterpriseZine

トピックスRSS

ランキング