セキュリティ意識は「DR」「スマホ」対策に集中~NRIセキュア調査

事件の割に情報漏えいへの意識は低下傾向


セキュリティコンサルタントの太田海氏

 NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は13日、「企業における情報セキュリティ実態調査 2011」の結果とそれを踏まえた提言を行った。

 調査の目的は、国内企業における情報セキュリティの取り組み状況や課題を明らかにすること。8月26日~9月16日に599社を対象としてアンケート調査を実施した。

 登壇したセキュリティコンサルタントの太田海氏は「2011年は特に情報漏えい事件の多発した1年だった。情報の機密性の土台が揺らいでしまったといえる。そのほかにも、人的・物的損失に加え、情報やリソースの流れを寸断し社会インフラの可用性にダメージを与えた東日本大震災、オランダDigiNotarの事件を端に発し、インターネットの完全性にダメージを与えたSSL証明書の改ざんなど、さまざまなセキュリティ事件が多発した」と語る。

2011年に発生した情報漏えい事件2011年度に優先的に取り組む施策

 これらを踏まえ、調査では「2011年度に優先的に取り組む施策」を尋ねると、「事業継続計画の策定(13.2%)」と「災害対策(DR)の実施(9.3%)」が上位に挙がった。また、「スマホのセキュリティ対策」が昨年から急上昇した。東日本大震災やスマホ人気を考えれば頷ける一方、そのほかのセキュリティ対策は昨年よりも関心が下がっているものが多く、太田氏は「世の中で目立つ事例にのみ注目してしまっている可能性がある。企業は見落としている脅威や新技術がないか、自社の取り組みをあらためて見直すのが望ましい」と指摘する。

 特に、多くの報道を通して、一般的にも関心が高まったと思われる情報漏えい事件を経ても「メールに起因する漏えい対策の強化」をはじめとした情報漏えい対策の項目が優先度を落としている。これはなぜだろう。太田氏は「経営層などにとって事件から具体的な対策が結びつかず、分かりにくいためではないだろうか」と推測する。単に“分かりにくい”だけが理由であればいいのだが、昨今は、“ウイルスのパターンマッチングだけでは防ぎきれない”、あるいは“ゲートウェイ製品による入口対策だけでは防げない”といった脅威の現状がある。こうしたことからセキュリティの有効性にある種の不信感が生まれているのだとしたら厄介だ。「そこまではいかないまでも、(セキュリティ対策をしっかりやっていそうな)大企業でも情報漏えいが起こりえることから、セキュリティの対策疲れが起きているのかもしれない。そういうことを全部含めて、分かりにくくなってしまっているのだろう」(同氏)。

海外拠点におけるセキュリティ統制状況

 情報漏えい事件が海外拠点で多発したことを受け、調査では海外拠点における情報セキュリティの統制状況についても質問したところ、海外拠点を有する企業の約40%が「海外拠点のセキュリティ対策の実施・管理が現地任せ」ということが浮き彫りになった。さらに海外拠点を有する企業の約65%が「現地のセキュリティ対策の結果確認さえ行っていない」ということも判明。

 太田氏は「海外拠点での情報漏えい事件が多発する昨今、現地任せの状況は危険。一方で国内でも事件が引き続き発生していることから、国内・海外問わず、すべての拠点においてセキュリティ統制を推進すべき」としている。

 新技術の観点からは、スマートフォン/タブレット端末とクラウドに関して調査している。スマートフォン/タブレット端末の利用状況としては、約50%の企業が端末を支給(予定も含む)。約20%の企業が私物スマートフォンの利用を許可していた。具体的な内訳をみると、スマートフォンの業務利用については、38.2%が「会社支給端末のみ許可」、20.9%が「私物端末も許可」、37.7%が「業務利用を不許可」。タブレットの業務利用については、40.6%が「会社支給端末のみ許可」、13.9%が「私物端末も許可」、42.6%が「業務利用を不許可」となっている。

 太田氏は「スマートデバイスの導入が進みつつある現状では、端末のセキュリティ対策も合わせて進める必要がある。特に携帯性や効率性などのメリットと、紛失やマルウェア感染に伴うリスクのバランスが取れているか、各企業で十分に検討すべき」とした。

 一方、クラウドに関しては、メリットとデメリットを質問。メリットとしては、「事業継続が容易に実施可能」(70.7%)、「データの損失リスクが低い」(47.3%)といった可用性に関するものが上位に上がった。次いで「セキュリティ対策を事業者に任せられる」(43%)、「クラウドを利用した方がOSやアプリケーションのセキュリティが確保される」(27.7%)などが挙がった。

 デメリットとしては、「クラウド事業者の倒産などによりサービスが停止する恐れがある」(66.8%)、「障害によって予期せぬデータ損害の恐れがある」(42.9%)などが上位になった。興味深いのは「自社で運用する方がOSやアプリケーションのセキュリティが確保される」としたのは7.2%のみで、逆の場合の27.7%よりも少なく、クラウドへのセキュリティの信頼の高さが伺える内容となった。

 太田氏は「クラウドのセキュリティに期待するにせよ、不安を抱くにせよ、実態について把握に努めることが、リスクの管理に必要である。利用者側としては、セキュリティ対策の状況説明を事業者に要求すべきで、事業者側も積極的に応じるべきである」とした。

クラウド利用のメリットとデメリット
関連情報
(川島 弘之)
2011/12/13 16:39