CompTIA(コンプティア)は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。

 
CompTIAセキュリティートレンド調査
結果発表
CompTIA日本支局では、2011年10月1日〜12月31日まで「CompTIAセキュリティートレンド調査」を実施しました。

CompTIA米国本部では、毎年「Annual Global Information Security Trends」というセキュリティートレンド調査を実施しています。最新の調査は、2010年7月に実施され、調査レポートは、2011年11月に公開されています。
調査レポートにつきましては、下記のリンクよりご確認いただけます。

8th Annual Global Information Security Trends

CompTIA日本支局では、この調査内容に基づき、いくつかの質問項目について、米国を含めた他国と日本との現状を比較するため、本調査を実施し、統計をしています。

ぜひご参考にしてください。
 
【Q1】 数年前と比較して、現在のセキュリティー脅威レベルは上昇・下降・維持のどれにあてはまりますか。

回答者の90%近くの企業が「顕著に上昇」、もしくは「穏やかだが上昇」とセキュリティ脅威レベルが上昇傾向にあると回答をしています。また、 米国の調査でも、回答者の67%が「上昇傾向にある」と回答をしています。
これらの調査結果からも、セキュリティーへの対策は、世界中のどの企業においても、最重要な経営課題の1つであることがわかります。

さらに米国の調査では、回答者の55%が、セキュリティー対策の技術の発展が、これらの脅威レベルへの対策で有効であると回答しています。

【日本セキュリティトレンド調査結果】

 
【Q2】 下記セキュリティーに関連した項目において、所属される組織で懸念されているものをお答えください。 〜エンドユーザーから発生する脅威〜 (複数選択可)
調査の結果では、エンドユーザー、内部ユーザー、ITスタッフのいずれの人員から発生する脅威も同じように懸念をされていることがわかります。ただ、「エンドユーザー」から発生するセキュリティー脅威と回答をされている方が最も多くいらっしゃいます。

【日本セキュリティトレンド調査結果】
米国本部では、これらの3つの人員からのセキュリティー脅威がどのような傾向にあるかを調査しています。米国本部の調査でも同様に、82%の回答者が「エンドユーザーによる人為的エラー」がセキュリティの大きな懸念事項と回答されています。

【米国セキュリティトレンド調査結果】
 
【Q3】 下記セキュリティーに関連した項目において、所属される組織で懸念されているものをお答えください。 〜ポリシー/管理上の問題〜 (複数選択可)

企業において最も身近に感じられるであろうセキュリティーインシデントである「データー漏えい」と回答された方が最も多くいらっしゃいました。また、様々なセキュリティー対策を取られているにもかかわらず、セキュリティー脅威が巧妙化、かつ多様化してきていることから対策が万全ではなくなってしまうという声も多く「セキュリティー脅威の巧妙化」が懸念事項であると回答された方も多くいらっしゃいます。

【日本セキュリティトレンド調査結果】


米国でも同様に「セキュリティー脅威の巧妙化」「データ漏えい」を企業におけるセキュリティの懸念事項であると、いずれも80%以上の方が回答されています。さらに米国では、クラウド環境の導入に伴い、「クラウドコンピューティングのセキュリティリスクへの理解」と回答されている方が、80%近くにのぼります。今後、日本国内でも、クラウドコンピューティング導入の拡大に伴い、これらのセキュリティーリスクへの対策が、企業における重要なセキュリティーテーマの1つとなり得ると考えます。

【米国セキュリティトレンド調査結果】
 
【Q4】 過去12ヶ月において、所属される組織が経験したセキュリティーインシデント/違反の数はどのくらいだと思われますか。

回答者の半数の組織が、1回以上のセキュリティーインシデントがあげられたと回答しています。

米国の調査結果も同様で、回答者の63%の組織が、過去12カ月において「少なくとも1回以上のセキュリティインシデント/違反」を経験していると回答しています。また、そのうち、45%の回答者が、経営や企業の評判にダメージを与える程の「深刻なインシデント/違反」であったと回答しています。

【日本セキュリティトレンド調査結果】

 
【Q5】 セキュリティーインシデント/違反が発生する大きな要因として人為的エラーが挙げられていますが、その原因となる理由は次のうちどれだと思いますか。(複数選択可)

米国本部の調査では、約60%のセキュリティーインシデント/違反は「人為的なエラー」が原因で発生していると回答されています。

また、そのセキュリティーインシデント/違反の最も大きな原因と考えられているのは、「セキュリティー知識の欠如」です。多くの企業では、様々なポリシーやルールを策定します。これ自体はとても重要なことではありますが、実際には、企業に所属するエンドユーザー個々人が、有益なセキュリティー知識を持たなくては、セキュリティー違反を減らすことができないと考えられます。

上記のアンケート内容からもわかる通り、セキュリティー脅威は巧妙化していく一方で、従業員が取り扱うデバイスは、PC、モバイルを含め多種にわたります。

企業において、セキュリティーを維持していくためには、エンドユーザーを含めた全ての従業員に対し「セキュリティー知識の欠如」がないよう、定期的に「セキュリティトレーニング」を実施していくことが必要と考えます。

米国本部の調査でも、セキュリティー違反を引き起こす人為的エラーの大きな原因として、「エンドユーザーのセキュリティーポリシーの不履行(49%)」、「セキュリティートレーニングの欠如(36%)」、「セキュリティー脅威を管理する人材および対応時間の不足」が、上位3つとしてあげられています。

【日本セキュリティトレンド調査結果】

 
【Q6】 所属される組織のITセキュリティーへの対応として最も当てはまるアプローチは次のうちどれですか。

回答者の80%が、「社内のセキュリティ専門スタッフ」「社内のITスタッフ」「IT部門ではないスタッフ」が、企業におけるセキュリティへの対応を実施していると回答されています。

米国での調査では、より外部のセキュリティ専門企業に業務を委託している場合が多く、回答者の12%が「、ITセキュリティ−機能の一部における業務を外部委託」、また、8%が「外部のコンサルティング会社に完全に業務委託」と回答をしています。

今後、セキュリティー脅威の巧妙化、多様化に伴い、日本でのセキュリティー専門企業での業務委託の割合も上昇傾向に変化をみせる可能性があります。

【日本セキュリティトレンド調査結果】

 
【Q7】 過去2年間において、所属される組織ではITスタッフを対象とした情報セキュリティ−トレーニングを実施しましたか。

米国での調査結果では、回答者の47%が「はい」と回答をしています。しかしながら、ほぼ同数の48%が「いいえ」と回答をしています。

これと比較をすると、日本国内では、企業においてITスタッフを対象としたセキュリティートレーニングを実施している割合は、比較的高い割合となっています。

【日本セキュリティトレンド調査結果】

 
【Q8】 所属される組織内に明文化されたITセキュリティーポリシーがありますか。

回答者の81%が「既に明文化されたITセキュリティーポリシーが組織内にある」と回答をしています。
米国での調査結果から、他国の状況と比較してみると、この数字は、とても高い比率であることがわかります。

米国の調査では、従業員の多い組織ほどセキュリティーポリシーを策定している企業が多く、1,000人以上の企業では79%が、100人〜999人の企業では60%の企業が既に明文化したセキュリティーポリシーが組織内にあると回答しています。
また、セキュリティーポリシーを策定している企業では、策定していない企業と比較して、ITスタッフ、およびエンドユーザに対してITセキュリティートレーニングを実施している割合が2倍以上におよぶこともわかっています。


【日本セキュリティトレンド調査結果】

【米国セキュリティトレンド調査結果】
 
【Q9】 セキュリティ−に関する規制や法律に関連することで、懸念されていることをお答えください。(複数回答可)

回答者の多くが、セキュリティーを維持するために「過度な規制がひかれること」を懸念し、またこれに伴う「理解することの難しさ」「新規則から予期せぬ結果が生じること」「不測なコンプライアンス違反が生じること」などを懸念事項んあげています。

米国の調査では、35%の企業が、過去2年間において、セキュリティー規則や法律に準ずるために生じたコストが増加したことを報告しています。

【日本セキュリティトレンド調査結果】

 
【Q10】 セキュリティ−投資について、下記項目のうち投資を予定しているものはどれですか。(複数選択可)
回答者の多くが、今後投資をしていくセキュリティー分野として「エンドユーザートレーニングの実施」を挙げています。
上記の調査結果の通り、エンドユーザーから発生するセキュリティーインシデントは比較的多く、また多くの企業での懸念事項になっています。
CompTIA日本支局でも『セキュリティは一人一人の「IT力」』と謳っていますが、エンドユーザーの誰もが多くのITデバイスを使い仕事をしています。これらのITデバイスは、常にセキュリティー脅威にさらされています。企業の資産でもある「情報」を守るためには、セキュリティーポリシー策定等のルール作りはもちろんのこと、企業で働く一人一人に確実なITセキュリティートレーニングが必要と言えます。

【日本セキュリティトレンド調査結果】
 

最後に、下記が、米国本部調査で発表されている、2年前と比較した「セキュリティ懸念事項」の調査結果です。
この調査でも、「セキュリティー脅威の巧妙化」が、クリティカルな懸念事項としてあげられています。

「e-mailベースでのセキュリティー脅威」は、重要度が下がってきているわけではなく、「メールから発生するセキュリティー脅威がある」ということが、受信される一人一人に浸透している結果であろうと考えられます。
その他のITデバイス、ツール、ソフトウェアなどの全てに対し、これらの認識を高めること、また、必要以上に使用を制限するだけではなく、正しくセキュリティーの認識を持って使用をするようなトレーニングを実施することが必要であると考えます。

【米国セキュリティトレンド調査結果】
下記のセキュリティーに関する懸念事項で、2年前と比較して、重要度はどのように変化していますか。

 
セキュリティトレンド調査にご協力をいただいた皆様、ありがとうございました。
また、このような調査を随時実施いたしますので、その節は、ぜひご協力ください。
 


 

 



 
 
 

 

 

 
 

 
 
 資料・パンフレットダウンロード
 CompTIAライブラリー
 

 


 
 

 

CompTIA Japan Instagram

  友だち追加数
 


CompTIA 日本支局 住所:〒101-0061 東京都千代田区三崎町3-4-9 水道橋MSビル7F TEL:03-5226-5345 FAX:03-5226-0970