menu
セキュリティ [ Security ]

セキュリティ対策の提案に新たな素材が登場/「情報セキュリティ成熟度評価」と国内企業の現状

[2016.11.18]

IDC Japanで国内情報セキュリティ成熟度のユーザー調査を担当する同社ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫氏。

セキュリティ対策ビジネスの拡販に使える

 

情報セキュリティの強化は、業種や規模を問わずすべての企業で重要な経営課題となっている。しかし実際にどれほどの強度を持つ情報セキュリティ対策が実施されているかを評価するのは極めて困難だと言わざるを得ない。

 

なぜなら情報セキュリティへの脅威は常に変化を続けており、脅威への対策も変化に応じて強化を続けなければ安全を維持・向上できないからだ。また企業によってIT環境や業務環境も異なるため共通の指標で画一的に対策の強度を評価するのは難しい。

 

情報セキュリティ対策への取り組みは連続的であり継続が不可欠である。そのためITビジネスを展開するベンダーや販売店にとっては大きなビジネスチャンスがある。

 

ところが企業が現在講じている情報セキュリティ対策の強度を評価する指標がないため、製品やソリューションを提案する際に「標的型攻撃」や「ランサムウェア」など、目的が限定的となり提案の機会も幅も広げにくい側面がある。

 

ITビジネスにおいて大きな市場規模があり、長期にわたってビジネスチャンスが期待できる情報セキュリティ対策市場に関して、今後のビジネス展開に活用したいニュースが発表された。それは2016年10月19日にIT専門調査会社であるIDC Japanが発表した「情報セキュリティの成熟度評価」である。

情報セキュリティ成熟度の評価指標

 

IDC Japanが発表した情報セキュリティ成熟度評価とは同社が開発した「IDC MaturityScape:IT Security」と呼ばれるフレームワークに基づき、「ビジョン」「リスク管理」「組織/人材マネジメント」「運用プロセス」「セキュリティテクノロジー」の五つの特性を評価指標とし、それぞれの成熟度をグローバルでの相対評価で算出し、企業における情報セキュリティに対する取り組みレベル(成熟度)を客観的に評価する仕組みだ。

 

評価対象となる五つの特性の各評価指標は次の通りだ。まずビジョンでは事業目的や情報セキュリティ目的、法規制への監視、予算を評価する。リスク管理では取り組みの内容とその評価手法、対外関係、内部統制環境が評価対象となる。

 

組織/人材マネジメントでは情報セキュリティに関わる幹部のリーダーシップ、組織文化、CISO(最高情報セキュリティ責任者)を含めた情報セキュリティ部門の幹部の役割、情報セキュリティにかかわる人員について評価する。

 

運用プロセスではITリソースを活用する際のポリシーの監視や管理、ID管理などのユーザーアカウントに関するライフサイクルの管理、脆弱性管理と脅威管理に関わる運用プロセスを評価する。

 

セキュリティテクノロジーではアイデンティティ/アクセス管理、ネットワークセキュリティによるIT環境に対する脆弱性管理、マルウェア対策による脅威管理、企業で利用されている信頼管理ツールとテクノロジーを評価する。

5段階の成熟度でセキュリティ対策を評価

 

五つの各特性を評価して算出した結果から成熟度を評価する。成熟度は5段階を定義しており個人依存をステージ1、限定的導入をステージ2、標準基盤化をステージ3、定量的管理をステージ4、そして継続的革新をステージ5に位置付けている。以下が各ステージの特性となる。

情報セキュリティ成熟度ステージ
出所:IDC Japan

 

・ステージ1「情報セキュリティ初心者」

決まった予算を持たず必要に応じて基本的なセキュリティ対策を実施する。パートナーからセキュリティ情報を求められるか規制によって対応が迫られるか、実際にセキュリティ侵害に遭遇しない限りセキュリティに対する意識が低く脆弱な状態だ。

 

・ステージ2「情報セキュリティ試行者」

専任社員がセキュリティ対策に携わっている。ただしコンプライアンス監査と法規制への対応に終始した取り組みであり、リスクを考慮したセキュリティ対策ではない。

 

・ステージ3「情報セキュリティ利用者」

法規制と内部リスクアセスメントに対応したセキュリティ基本計画と内部統制を持っている。リスクを考慮したセキュリティ対策を実施しているが、コンプライアンス監査と法規制への対応に終始しており、ITの生産性向上や事業価値創出にリスク管理を活用していない。

 

・ステージ4「情報セキュリティ活用者」

コンプライアンス対応を強化したセキュリティ基本計画を策定しており、費用対効果の高いソリューションを率先して導入している。またビジネスニーズと価値提案に基づいてセキュリティ戦略を策定しており、ITの生産性向上や事業価値創出にリスク管理を活用している。

 

・ステージ5「情報セキュリティ革新者」

企業のセキュリティ管理を最も効果的で効率的な方法でセキュリティ戦略を立てており、リスク管理をビジネスマネジメントに組み込んでいる。積極的にツールやソリューションを活用してリスクの予見や管理を実施し、セキュリティ侵害が発生することを前提としたセキュリティ環境の構築を進めている。

国内企業の情報セキュリティ成熟度の調査結果

 

IDC Japanが開発した情報セキュリティの成熟度評価を利用して国内企業における情報セキュリティの成熟度が調査された。その結果が次のグラフだ。

国内情報セキュリティ成熟度のステージ分布
出所:IDC Japan

 

約2割の企業が決まったセキュリティ予算を持たず必要に応じてセキュリティ対策を行っており、セキュリティ戦略やマネジメントが欠如している。

 

また半数以上の企業が限定的導入(ステージ2)もしくは標準基盤化(ステージ3)にとどまっており、リスクを考慮したセキュリティ対策を行っておらず、ITの生産性向上や事業価値創出にリスク管理を活用していない。

 

全体的に見ると外部からの脅威対策とコンプライアンス対応に終始しており、ITリソース全体でのリスク管理を考慮した事業目的や情報セキュリティ目的を持って対策に取り組んでいる企業が少ないことがわかる。

特性別成熟度でビジネスチャンスが見える

 

情報セキュリティ成熟度を特性別に見てみよう。まずビジョンではステージ3よりも高い企業は1割程度となっており、外部からの脅威対策とコンプライアンス対応に終始している企業が多い。リスク管理では半数の企業がリスクを考慮したセキュリティ対策を実施していない。

国内情報セキュリティ成熟度の特性別ステージ分布(ビジョン)
出所:IDC Japan

国内情報セキュリティ成熟度の特性別ステージ分布(リスク管理)
出所:IDC Japan

 

組織/人材マネジメントでは限定的導入(ステージ2)が約4割を占めており、専任の社員がセキュリティ対策に取り組んでいるが情報セキュリティ責任者や担当幹部は取締役レベルではないため事業施策に関する意思決定に参加しておらず、情報セキュリティ部門のリーダーシップが弱い。

国内情報セキュリティ成熟度の特性別ステージ分布(組織/人材マネジメント)
出所:IDC Japan

 

運用プロセスでも限定的導入(ステージ2)が約4割を占めており、セキュリティ侵害が発生することを前提とした情報セキュリティ対策への取り組みは消極的だ。セキュリティテクノロジーでは個人依存(ステージ1)の割合が他の特性と比べて最も高く、成熟度が最も低い。

国内情報セキュリティ成熟度の特性別ステージ分布(運用プロセス)
出所:IDC Japan

国内情報セキュリティ成熟度の特性別ステージ分布(セキュリティテクノロジー)
出所:IDC Japan

 

ステージ3以上の企業は3割程度で多くの企業が従来型のファイアウォール製品やウイルス対策製品を導入しているが、次世代ファイアウォールや非シグネチャベースのウイルス対策製品、多要素認証の活用、特権ユーザーの監視などの先端的なテクノロジーを導入している企業が少ない。

 

この調査を担当するIDC Japanでソフトウェア&セキュリティ リサーチマネージャーを務める登坂恒夫氏は「企業の経営者は情報セキュリティ責任者やセキュリティ担当幹部を取締役レベルに置き、情報セキュリティ責任者のリーダーシップの強化を図るべきである」とアドバイスる。

 

そして「リスク評価やコスト評価を考慮した事業施策の意思決定が行え、運用プロセスや先進的なテクノロジーの活用への取り組みが進展し、さらに上のステージへと成熟度が高まる」と効果を説明する。(レビューマガジン社 下地孝雄)

キーワードから記事を探す