セキュリティ教育を実施している企業は60％以上　〜セキュリティ教育に関するアンケート　結果解説　１〜

弊誌では先日、「セキュリティ教育に関するアンケート」を実施いたしました。ご協力いただいた皆様に感謝いたします。今週より、当該アンケートの結果を集計、解説した記事を掲載いたします。

───────────────────────────────────

　今回のアンケート調査はインターネットで実施し、92人から回答を得た。回答者の勤務先としては、システム開発やソフトハウス、ハードウエアベンダ、通信キャリアなど、いわゆるIT企業が半数近くを占めている。もっとも勤務先の67％はユーザー企業となっており、必ずしもコンピュータ業界の最先端にある企業ではない。

　また全体の61％が500人以下の中小企業に所属しており、一方で1万人以上の大企業に勤務する人も13％に上っている。全体の47.8％が一般社員・職員だが、係長、課長といった中間管理職も40.13％あり、現場で実務に携わっている人が大半を占めていると言える。回答者自身は、多くが社内でセキュリティ対策の導入や関連製品の購入に関して何らかの発言権を持っている人と見られ、セキュリティ対策に関しても影響力のある立場にいる人が多いようだ。実際、「セキュリティ製品購入に意見を求められるなど、影響を持っている」と答えた人は57.6％に上っていた。

≫ISMS認証は25％　セキュリティポリシー導入は64％

　セキュリティ教育は、情報セキュリティマネジメントシステム（ISMS）認証とからめて語られることが多い。ISMSは組織が情報をきちんと管理し、機密保護を保つための包括的な基準とされているが、日本では現在、2つの規格がある。イギリスの国内規格であり、事実上の国際標準にもなっている「BS7799」と、これをもとに財団法人日本情報処理開発協会（JIPDEC）が日本の情報セキュリティ標準として策定した「ISMS認証基準」である。いずれの規格も内容はほぼ同じといってよく、将来的にはISO（国際標準化機構）によって統合されていくと見られている。日本品質保証機構や日本規格協会など、国内では14の団体が審査・認証を行っている。

　ISMSは仮にインシデントが発生してしまった場合でも、被害を最小限に抑えることが目的とされており、変化に対応できうる仕組み作りとしてのマネジメントシステムと、不測の事態に対応できるリスクマネジメントの2点が、基本的な考え方になっている。従来のセキュリティポリシーを中心とした枠組みでは制御しきれなかった情報漏洩や風評被害などにも対応できるとされている。

　このため今春、Yahoo!BBやジャパネットたかたの顧客情報漏洩事件が社会問題化して以降、セキュリティリスクに危機感を感じたさまざまな企業が導入を勧めるようになってきている。8月18日付の日本経済新聞によれば、ISMS取得企業数は17日現在で485社に上っており、各国と比べても突出した数字になっているそうだ。確かに、企業のセキュリティ担当者と会えば、ISMS認証の取得が話題になることが最近非常に多くなってきている。

　今回の調査結果でも、回答者の勤務先が「ISMS認証を受けている」と答えた人は25.0％。これに「現在申請中」と「今後1年以内にISMS認証を受ける準備を進めている」という回答を加えれば、36％がISMS認証に積極的に取り組んでいるということになる。

【執筆：ジャーナリスト　佐々木俊尚】

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec