「プレスリリース」コーナーでは、企業や団体などのプレスリリース(報道用発表資料)をそのまま掲載しています。株式会社Impress Watchは、プレスリリース記載の内容を保証するものではありません。また、プレスリリース記載の情報は発表日現在の情報です。閲覧いただく時点では変更されている可能性がありますのでご注意ください。

マカフィー、「セキュリティの現状」調査レポートを発表

~第3者機関の調査で、企業のセキュリティに対する認識と現実の矛盾を浮き彫りに
79%の企業が過去1年以内に重大なインシデントを経験~

セキュリティ・テクノロジ専業のリーディングカンパニー、McAfee, Inc.(以下、マカフィー)は、第3者機関であるEvaluserveによる9ヶ国495社への調査結果を元にして作成した、「セキュリティの現状(State of Security)」レポートを本日発表しました。本レポートでは、規制が厳しく、ますます複雑化しているグローバルなビジネス環境において、ITの意思決定者が情報資産保護という課題をどのように考えているかが明らかになりました。さらに、2012年に向けて、企業がプロセス、プラクティス、テクノロジーについて、どのようなITセキュリティの優先順位を設定しているかについても浮き彫りにしています。企業のデータ環境が拡大するにつれて、効果的な情報セキュリティを実現するには、総合的な脅威分析と多層的かつ徹底したセキュリティリスク緩和の手法を組み込んだ、戦略的セキュリティ計画(SSP)の策定が不可欠になっています。本レポートの調査は、企業がSSPを策定する上で直面している、いくつかの重要なトレンドの指摘を目的として実施されました。

【セキュリティの成熟度】
今回の調査に回答した企業は、自社をさまざまなレベルのセキュリティ成熟度に分類しています。このような分類は、企業がエンタープライズ情報セキュリティをどのように考えているのかを理解する上で役立ちます。このレポートでは、調査に参加した企業のセキュリティ成熟度を示すために、以下のような用語を使用しています。

・事後対策型:
セキュリティプロセスの定義に、その場しのぎの手法を用い、事象が発生後に対応。調査対象企業の9%がこの段階にあると回答。

・迎合型:
いくつかのポリシーを整備しているが、セキュリティポリシー間で標準化が行われていない。このような企業は、一部または必要最低限のセキュリティ基準を遵守している。調査対象企業の32%がこの段階にあると回答。

・事前対策型:
標準化されたポリシーに従い、中央一元的なガバナンスを確立し、複数のセキュリティソリューション間である程度の統合がなされている。調査対象企業の43%がこの段階にあると回答。

・最適化型:
セキュリティ業界のベストプラクティスに従っており、企業のポリシーを厳格に遵守。社内全体で高度に統合された自動化セキュリティソリューションを使用。調査対象企業の16%がこの段階にあると回答。

【主な調査結果】
・企業は、自社の環境に対する最も重大な危機や重要データの管理場所を認識していますが、セキュリティ侵害が発生した場合の潜在的な金銭的損害額は、数値化できていません。

・情報セキュリティリスクに対する企業の意識と保護は非常に重要です。しかし、「最適化型」と回答した企業の3分の1は、意識と保護という観点から自社のITセキュリティの状態がどの程度なのか把握していません。公式な戦略計画を策定しているにもかかわらず、34%の企業は、自社のビジネスに打撃を与えかねない情報セキュリティリスクから十分に保護されていないと考えています。

・回答した企業の大半は、SSPを策定していると回答し、その中で潜在的な脅威やそれに伴うビジネスへのリスクについても考慮し、金銭的な分析も行っていると述べています。しかし、5社のうち4社が、過去1年以内に重大なセキュリティインシデントを経験しています。

・調査対象企業の80%以上がマルウェア、スパイウェアおよびウイルスが主要なセキュリティ脅威であると認識しているにも関わらず、ほぼ3分の1の企業は、ゼロデイ脅威に対処することを目的とした次世代のセキュリティ・テクノロジーを購入していないか、まだ導入していません。

・5社のうち2社が、非公式または臨時の計画しか整備していないか、またはSSPをまったく整備していません。公式なSSPを導入しているか否かは、企業規模と関連性があり、大企業では10社のうち6社が公式なSSPを導入していますが、中規模企業では3社のうち2社、小規模企業になるとわずか2社のうち1社しか導入していませんでした。

・北米とドイツの企業は、世界のその他の地域の企業と比べて公式なSSPを整備している割合が高くなっています。これは、そうした国々の規制環境に起因していると考えられます。

・2012年に向けた最優先課題として、機密データ保護の管理強化とビジネス継続性の確保が挙げられています。最も優先度が低かったのは、セキュリティインフラへの投資とその運用経費の削減でした。これは、企業が適切なセキュリティソリューションに経費をかける用意があることを示しています。

【まとめ ~企業における今後の課題~】
企業は、SSPの策定に取り組み、ビジネスシステムや機密データの保護に最大の労力を投入していますが、あらゆる条件を考慮すると、まだまだ多くの改善の余地があります。

・より高いセキュリティ成熟度へのステップアップ:
自社を「最適化型」であると回答した企業はわずか16%です。しかし、より問題なのは、9%の企業でITセキュリティへの手法が「事後対策型」だということです。

・経営陣の関与:
計画策定の主導はITとセキュリティの担当者であっても、ビジネスシステムやデータを最も理解する人々からの洞察を得ることも重要です。さらに、社内全体にセキュリティの重要性を意識させるためには、経営陣を関与させることが重要です。

・早期かつ頻繁なテストと調整:
策定した計画は実行、テストしなければ意味がありません。残念ながら「迎合型」企業の29%は、計画がインシデントに対してどのように機能するのかを一度もテストしたことがないことが判明しました。さらに、調査対象企業の79%が過去1年間にセキュリティインシデントを経験しているという事実は、セキュリティ計画に何らかの欠陥があることを示しています。

・配分された予算の賢明な使用:
管理者は誰しもより多くの保護を適用するためになるべく多くの予算を獲得したいと考えますが、「最適化型」の企業は、予算の使い方があまり賢明でない企業に比べ、同程度の予算で最も高い成果を上げる方法を見つけています。

・現在の脅威に対する適切なツールの導入:
45%の企業が次世代ファイアウォールを配備していないことが判明しました。モバイルセキュリティに関しても、25%の企業は対策のためのツールをまったく購入していません。

・機密データの保護:
2012年の最優先事項には、企業活動の源である機密データの保護と、ビジネス継続性の確保が含まれています。優先度の高いその他の事項もすべて、各企業の全体的なセキュリティ態勢を改善するための手段であり良い傾向です。なぜなら、適宜セキュリティ脅威を認識してそれを緩和しなければ、次は自社がニュースの見出しになってしまうかもしれないからです。そのような不祥事を望んでいる企業はありません。

マカフィーのバイスプレジデント、ジル・カイト(Jill Kyte)は次のように述べています。
「どの企業も、セキュリティ侵害を防止するためのプロセスとソリューションの両方を利用した、多層的なセキュリティアプローチを導入する必要があります。現在では『企業』がオフィスの壁や境界に設置されたファイアウォールを越えて拡大しており、リスク管理とデータ保護の課題が複雑化しています。企業は、ビジネスパートナーや契約社員、場合によっては顧客にもネットワークへのアクセスを許可しています。社員は、携帯端末を利用してリモートから企業ネットワークにアクセスしますが、そうした端末の多くは社員が個人的に所有しているものであり、アクセス先の企業が管理するものではありません。さらに、データやアプリケーションがパブリッククラウドやハイブリッドクラウドに移されつつあり、そのような環境ではデータの所有者にセキュリティの直接的な管理権限がほとんどありません。このような状況において、企業はSSPを導入する必要があります。」

【今回の調査について】
今回の調査はEvaluserveが実施し、495社からの回答が盛り込まれています。対象企業の国籍は、米国、カナダ、英国、ドイツ、フランス、ブラジル、オーストラリア、シンガポール、ニュージーランドの9ヶ国で、企業規模は従業員数が最低1,000人から5万人以上までです。
「セキュリティの現状」レポートは、 http://www.mcafee.com/ssp (英語)よりご覧いただけます。

■マカフィーについて
マカフィーは、インテル・コーポレーション(NASDAQ:INTC)の完全子会社であり、セキュリティ・テクノロジ専業のリーディングカンパニーです。世界中で使用されているシステム、ネットワーク、モバイルデバイスの安全を実現する革新的なソリューションとサービスを提供し、ユーザーのインターネットへの安全な接続、webの閲覧およびオンライン取引の安全を確実に支えています。マカフィーは、他の追随を許さないクラウドベースのセキュリティ技術基盤Global Threat Intelligence (TM)(グローバル スレット インテリジェンス)を活用して、革新的な製品を送り出しています。個人ユーザーをはじめ、企業、官公庁・自治体、ISPなど様々なユーザーは、コンプライアンスの確保、データの保全、破壊活動の阻止、脆弱性の把握を実現し、またセキュリティレベルを絶えず管理し、改善することができます。詳しくは、http://www.mcafee.com/jp/をご覧ください。

マカフィーでは、セキュリティに関するさまざまな研究成果や調査結果をweb上で公開しています。詳しくは下記ページをご覧ください。
http://www.mcafee.com/japan/security/publication.asp

McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。(C) 2012 McAfee, Inc. All Rights Reserved.

関連情報

2012/3/23 18:00


-ページの先頭へ-