株式会社スリーシェイクは2月25日、同社が実施した「セキュリティガバナンスに関する実態調査」を公表した。それによれば大手企業(従業員1,000名以上)の管理職・主任クラスの情報システム担当者の約4割が、自社のIT資産を十分に把握できていないと回答したことが明らかになった。
本調査では、インターネット公開されているIT資産(Webサービス、クラウドリソース、社内システムなど)の把握状況について尋ねたところ、「十分に把握できている」と答えたのはわずか20.2%にとどまった。「ほとんど把握できていない」(12.5%)、「一部しか把握できていない」(25.0%)と回答した割合を合計すると、全体の37.5%がIT資産の全体像を把握できていないことが浮き彫りになった。
さらに、IT資産の把握が難しい理由については、「グループ会社や子会社を含めた全体の状況が把握できていない」(48.7%)が最多で、次いで「部門ごとに異なるクラウドサービスを利用している」(30.8%)、「各部門が独自に導入したシステムの存在が把握しきれていない」(28.2%)などが続いた。
企業のセキュリティ対策における課題として最も多かったのは「セキュリティ人材の確保・育成が追いつかない」(38.5%)だった。また、「新たな脆弱性への迅速な対応が難しい」(37.5%)、「クラウドサービスのセキュリティ管理が複雑化している」(37.5%)も上位に挙げられており、急速に変化するIT環境に適応するための体制構築が急務となっている。
一方で、セキュリティ対策の効率化に向けた取り組みとして、「セキュリティ運用の統合管理」(40.4%)や「脆弱性診断の自動化」(35.6%)を検討している企業も多く、企業全体でのセキュリティ体制の強化が進められていることが分かった。
今後のセキュリティ対策において特に重要だと考えられている取り組みとして、「セキュリティ人材の育成・確保」(52.9%)、「セキュリティ運用の自動化・効率化」(51.0%)、「グループ全体でのガバナンス強化」(50.0%)が上位に挙げられた。自由回答では「専門部署の設置」や「個人のリテラシー向上」など、組織全体での意識改革が求められていることも明らかになった。
