ガートナー ジャパンは7月4日、日本企業のセキュリティへの取り組みに関する調査結果を発表した。同調査は、日本のユーザー企業のITリーダーを対象にしたもの。有効回答数は515件で、回答企業の従業員数規模別の内訳は、2000人以上が253社、1000~1999人が108社、500~999人が154社。

調査の結果、日本企業の担当者の21%が、自社のセキュリティ対策において最も懸念すべき事項は「コストがかかりすぎる」ことであると回答したという。これに続き、セキュリティ対策を推進するにあたっては、内容が「複雑すぎる」(13%) 、強化を「どこまでやればゴールなのかわかりにくい」(12%) といったことが懸念事項であることが明らかになった。

日本企業の情報セキュリティに関する懸念事項 資料:ガートナー

今回の結果について、リサーチ部門リサーチ ディレクターの礒田優一氏は「今回の調査では、『コストがかかりすぎる』点が懸念事項の第1位になった。当然ながら、セキュリティのリスクを減らすために対策を積み重ねるほど、コストはかさむ。セキュリティに関するインシデントは明らかに経営上の大問題になっており、セキュリティは、単なる維持コストではなくビジネスに不可欠な投資であると考えることもできる。よって、セキュリティへの取り組みは、ITやセキュリティのリーダーのみで判断を下せる範囲を超えており、経営者が関与、判断する必要がある。その際に課題となるのが、セキュリティが『複雑』である点。経営者に判断を委ねるにしても、セキュリティ対策にはさまざまな要因が絡んでいるため、経営者が理解できるように説明するのは難しい。しかしながら、セキュリティへの取り組みを推進するには、経営者との対話が必須であり、また経営者が判断を下すための材料を提供することが不可欠」とコメントしている。

こうした状況を踏まえ、ガートナーは、セキュリティについての従来の考え方を新しい取り組みへ変容させていく際に検討すべきこととして、「トラスト&レジリエンスに関する重要な6つの原則」として挙げている。6つの原則とは、「リスク・ベース}「ビジネス成果」「ファシリテーター」「検知と対応」 「人中心」のセキュリティ 」「データ・フロー」となる。

磯田氏は、この6原則について、「投資判断においては、『ビジネス成果』と『ファシリテーター』が重大かつチャレンジングな原則。経営者と対話する場合は、技術的な用語を避けてビジネスの言葉で語らなければなならない一方、セキュリティにおいては技術的な側面も重要。外部の専門家との会話が成り立つレベルの知識やスキルが欠かせず、これを器用にこなすことのできるファシリテーターが今まで以上に求められている」と述べている。