セキュリティチェックで重視する項目は「セキュリティ認証の取得の有無」

SecureNaviは7月26日、企業のセキュリティチェックに関する実態調査の結果を発表した。同調査は、企業のセキュリティ認証への取り組みが、セキュリティチェックシートの回答に与える影響を分析することを目的としたもので、2022年5月24日～2022年5月26日にかけて3005名を対象に調査が実施された。

調査結果の詳細は、同日に公開された「セキュリティチェックシートとセキュリティ認証に関する調査レポート」にまとめられている(レポートは、ITサービス導入における役割のうち、最終決裁者とセキュリティチェック担当を選択した対象者2194名を抽出して作成している)。

取引先や業務の委託先企業が、情報セキュリティに対する対策をどの程度行っているか確認するセキュリティチェックについての調査のうち、「Q. ITシステムの開発・運用の外注や、ITサービス(クラウドサービスを含む)の導入を行う際、事前に委託先企業のセキュリティチェックを行っていますか？」という質問に対して、従業員数100名以上1000名未満の企業の49.2％、1000名以上の企業の59.8%が「はい」と回答した。

セキュリティチェックの実施状況の質問、出所：SecureNavi

同質問に対する回答で「はい」または「場合によっては実施する」と回答した回答者には、「セキュリティチェックで重視する項目の中で、最も優先している項目」も聞いている。その結果、「セキュリティ認証(ISMSやPマーク等)の取得の有無」の回答が最も多く、「データの管理方法(データの取得、利用、保管、廃棄などにおけるセキュリティ対策の実施など)」、「脆弱性診断やマルウェア対策など、技術的なセキュリティ対策の実施状況」が続いた。

セキュリティチェックで重視する項目、出所：SecureNavi

「Q. ITシステムの開発・運用の発注や、ITサービス(クラウドサービスを含む)の導入を行う上で、委託先企業がセキュリティ認証(ISMSやPマーク等)を取得していることは必須要件ですか？」という質問に対して、従業員数100名以上1000名未満の企業では74.6％、 1000名以上の企業では79.1％が「はい」と回答した。

一方で、「Q. 委託先企業がセキュリティ認証(ISMSやPマーク等)を取得している場合、セキュリティチェックにはどのような影響がありますか？」という質問に対して、「セキュリティチェックを省略できる」または「セキュリティチェックの質問項目が削減される」と回答した割合は、従業員数100名以上1000名未満の企業では73.5％、1000名以上の企業では77.0％となった。