最近、警察庁が発表した2005年版の 「不正アクセス行為対策等の実態調査」の調査報告書をきちんと読みました。この報告書は警察庁のサイバー犯罪対策のページからダウンロードすることができます(本文にリンクあり)。この報告書が公表されたのが今年の4月14日なので、いまさら感はありますが報告書に記述されている調査結果の中から私が興味深いと思ったものをピックアップしてみたいと思います。ちなみに、調査対象は全国の企業(東証一部上場・二部上場企業、店頭公開企業を対象)、情報通信関連(電気通信事業者を対象)、医療関係(病床数100床以上の病院を対象)、教育関連(国立・私立大(短大を含む)を対象)、行政サービス機関(都道府県、特別区、政令指定都市、市町村を対象)から2500件を無作為に抽出したそうです。アンケートの回収状況は606件(24.2%)です。
「情報セキュリティ対策を非常に感じている」 82.8%
「ある程度感じている」という回答を含めると、99.1%の団体が情報セキュリティ対策の必要性を感じていると回答しています。まあ、当たり前ですね。
「情報セキュリティ対策の目的は個人情報保護のため」 84.3%
この後、「社会的責任を果たすため」71.8%、「ブランドイメージ、業績への影響」60.1%、「リスクマネジメントの一環として」59.7%と続きます。
「情報システム運用管理者が情報セキュリティ担当を兼務している」 69.1%
「運用担当とセキュリティ担当が別」24.9%、「セキュリティ担当はいない」10.9%、「専任」9.6%とのことです。セキュリティの観念からすると運用担当とセキュリティ担当は分けたほうが良いのですが、なかなかそうもいかないようです。
「セキュリティポリシーは策定してある」 59.4%
「策定中」15.2%、「策定予定」20.1%を含めると94.7%になります。思っていたより高いですね。
「セキュリティ実施手順書を定めている」 42.9%
「作成中」25.2%、「検討中」17.0%を含めると85.1%となります。セキュリティポリシーだけ作っても、実施手順を作らないとあまり意味がないような気がしますので、実施手順のほうも作成していただきたいものです。
「脆弱性調査を実施している」 18.8%
予想通り低いのですが、「エネルギー」(44.4%)、「情報通信」(35.0%)、「金融」(28.3%)の業種は比較的高いです。
「セキュリティ監査をすでに実施している」 26.0%
「内部監査」18.6%、「外部監査」7.4%、また「実施していないが必要性を感じる」45.7%となっています。実施していない理由には「知識・ノウハウがない」62.5%、「予算がない」35.9%、「手間がかかる」27.2%となっています。確かに、監査を実施するのは大変なことではありますが、PDCAサイクルのCheckという非常に重要な部分ですから、頑張って実施する必要があると思います。それが、継続的なセキュリティレベルの向上には必要なのです。
「セキュリティ監査の実施は1年ごと」 53.8%
「特に決まっていない」23.9%、「半年ごと」16.3%と続きます。監査は定期的に実施するから意味があると思うのですが・・・。
「情報セキュリティ教育を実施している」 45.9%
「実施していないが必要性を感じる」41.6%、「実施を予定している」9.9%と続きます。情報セキュリティ教育は数あるセキュリティ対策の中でも非常に重要度の高いものですので、ぜひ実施をしていただきたいと思います。ただ、「セキュリティ教育の対象者は正社員・職員」74.3%に対して、「派遣社員」39.6%となっています。正社員・派遣社員を問わずにセキュリティ教育というものは必要だと思うのですが(むしろ派遣さんのほうにこそセキュリティ教育が必要である場合もあると思うのですが)、派遣社員にはお金をつぎ込めないということでしょうか。
「情報セキュリティ教育の実施内容は個人情報の保護・管理」 86.7%
この後には「情報セキュリティポリシー」71.9%、「情報へのアクセス管理」67.2%、「機密情報の保護・管理」66.9%、「ウイルス・ワーム対策」63.6%と続きます。特に情報セキュリティポリシーは策定しただけでは意味がなく従業員が理解してこそ意味があるものなので、必ず教育メニューに組み込む必要があると思います。
「情報セキュリティ教育は年に1回実施する」 40.8%
「年に数回」26.3%、「採用・異動時など」11.8%と続きます。どのような内容でも、教育というのは定期的に実施してこそ意味がありますよね。
長くなってしまいましたので、「続く!」ということで。
<参考資料>
不正アクセス行為対策等の実態調査 警察庁
0 件のコメント:
コメントを投稿