日本企業のセキュリティ意識は「水準以下」──経営層が、IT部門が、今すぐすべきこと：「もうIT部門だけの課題でないと知るべき」PwCが提言（1/4 ページ）

日本企業は「役員クラスの情報セキュリティリーダーを置くべきだ」。サイバーセキュリティに関する世界規模のオンライン調査で、日本企業、特に経営層のセキュリティ意識が水準以下であることが分かった。経営層とIT部門は今後、何を考えるべきか、PwCが提言した。

[岩城俊介，ITmedia]

情報セキュリティ対策、日本企業の大きな課題とは

PwC セキュリティ戦略担当ディレクターの山本直樹氏

　日本企業は「役員クラスの情報セキュリティリーダーが不足」しており、4割以上が「インシデントの発生要因さえ把握できていない」。情報セキュリティ対策が十分な水準に達しておらず、投資意識にもグローバルと格差がある──。プライスウォーターハウスクーパース（PwC）が、経営層を対象に情報セキュリティと最新のサイバーセキュリティに関する世界規模のオンライン調査をまとめた「グローバル情報セキュリティ調査2015（日本版）」の結果より明らかになった。

　昨今、情報セキュリティ対策は企業の大きな課題だ。ベネッセの大規模情報漏えい事件をはじめ、JALマイレージ、ヤマト運輸、佐川急便、さらにLINEアカウントの乗っ取り被害、iCloud、DropboxのID情報流出騒ぎなど、人ごとではない身近な範囲で情報漏えい事件が多発している。情報漏えいにより2カ月で株価の時価総額が約600億円（16％相当）も下落したとなると、財務状況に大きな陰を落とすばかりか、消費者イメージも、そして株主への影響も甚大になる。米証券取引委員会では「有価証券報告書へのサイバーリスク掲示」がすでに義務化されているが、日本でも2016年中をめどに欧米に似た仕組みの導入が検討されている。サイバーリスクは、企業──IT部門の担当役員だけでなく、経営者が自社特有のサイバーリスクを特定し、未然の対策をとる必要が不可欠になる。

　「ただ、日本企業の多くは、いまだに情報セキュリティはIT部門の課題と考えている。役員クラスのリーダーが必要だという発想すらない可能性がある。ここがグローバル調査の結果から導き出された日本企業の課題」（PwC セキュリティ戦略担当ディレクターの山本直樹氏）

　特に日本企業の情報セキュリティ対策には、

• 適正なセキュリティ投資：適切な対策をおこなうため、まず重要な情報資産の棚卸しを行う。既存のセキュリティ対策の効果を測定する
• 内部犯行への対策：退職者や委託業者を含めた、内部関係者の範囲を再定義し、脅威シナリオを再考する。退職者の不正を検知するには、在籍中から取り組むべきことと退職後に対応すべきことを再考する
• セキュリティ管理のリーダーシップ：企業はまず、役員クラスのリーダーを任命し、企業の姿勢を社内外に示すことが必要

　が重要と説いた。