国内組織におけるセキュリティ対策の実態調査の結果から思うこと

トレンドマイクロが5月12日に発表した、国内企業・組織を対象に実施した2013年のセキュリティ対策や被害に関する調査の結果。この結果を見ると、対策の平均スコアは58.5点、対策が進んでいる「情報サービス・通信プロバイダー」は75.3点、ITとは縁遠いかと思われる「福祉・介護」は45.2点とのこと。あなたなら、この結果をどう読み解くでしょうか？
　

点数だけから実態を読み取るのは難しいですが・・・

日頃から自分たちの情報を預けている「情報サービス・通信プロバイダー」には、「対策は完璧です」と言って欲しいものですが、調査結果は75.3点。100点ではないということは、何ができていないのか？という点が興味のあるところですが、セキュリティ対策はサグラダファミリア教会の建築のように終わりがありませんので、理想を高く追い求めれば当然100点にはなりません。理想が高い故に75.3点なのか、それとも、できているべき事ができていなくて75.3点なのかは、本当のところがわからないと何とも言えないところです。

また、こうした調査に、自社の実態を包み隠さず公開する企業ももちろんあるとは思いますが、通常は舞台裏というのはあまり見せたくないものです。特にIT系では、端から見て当然できているべき。ということができていない実態がもしあったりすると、そういった話が明るみに出れば存亡の危機に立たされる可能性もあるので、アンケート調査でリスクを冒すようなことは恐らくはしないでしょう。そうした心理を考えると、この数値をどう読み解くかは難しいところです。
　

セキュリティインシデントが66.2％という点は注目

このアンケートの結果では、回答者の66.2%が何らかのセキュリティインシデントを経験したとのこと。インシデントの内容にも拠りますが、どの企業も対策をしているのに、７割近くで未だに事故が起きているというのは注目すべき事だと思います。

事故を防ぐために対策をしているので、対策をすることにより当然、事故を防ぐことができると思うところですが、実際にはそうではないということが、この結果から読み取れます。
　

セキュリティ対策の課題では「投資効果が見えにくい」「社員のリテラシー・意識が低い」「予算がない・足りない」「投資の必要性を上層部に説得する材料に欠けている」「対策に必要な人材が足りない」などが挙げられた。

　
といった結果と合わせて考えると、システム的な対策をどんなにしても、人的な対策が伴わなかったら片手落ちだということが言えるのではないでしょうか？

システム相手の対策なら、担当者の意志と行動、そしてお金があれば実現が可能です。しかし、相手が「人」となると、担当者の意志だけではどうにもなりません。セキュリティ担当者がどんなに声高に叫んでも、周りがその気にならなかったらどうしようもありません。それだけに、システム的な対策より、人的な対策の方が断然、ハードルが高いと言えます。

そうなると、面倒な人的対策よりも、やりやすいシステム的な対策の方に目が行きがちになりますが、システム的な対策だけでは事故を防ぎきれないことは、アンケートの結果から見ても明らかです。やはり、人的対策を避けて通ることはできないでしょう。そして、対策の課題として挙げられている項目について考えてみると、いずれも、組織としての意識改革が進めば、解決するための道もあるのではないか？ということに気づきます。

「予算がない」という問題も、知恵や従業員全員の協力があれば解決できることもあるはずです。「投資効果が見えにくい」という問題も、組織全体で何が問題で、どのようになればその問題をなくすことができるのか？簡単に言えば、「スタート」と「ゴール」を明確にして、組織を挙げてそのゴールに向かって進んでいく。という仕組みを作らずに、投資だけして「問題が解決されないかなあ」と祈ってみても、そんな都合良くは行かないはずです。

セキュリティ対策というと、システム的な対策を思い浮かべがちですが、セキュリティ担当者一人が頑張ったところで、できることには限界があります。セキュリティ対策にはやはり総力戦で挑むべきです。セキュリティ担当者はＰＭＯ（プロジェクトマネジメントオフィス）として、従業員全員を対策実施の「当事者」として巻き込む旗振り役となることこそ、あるべき姿なのではないかと思います。