「セキュリティの現状(State of Security)」レポート
マカフィーは、3月6日、第三者機関のEvaluserveが実施した9か国495社への調査結果をもとに作成した「セキュリティの現状(State of Security)」レポートを発表した。複雑化しているグローバルなビジネス環境で、ITの意思決定者が情報資産保護をどのように考えているかを明らかにするとともに、企業がどのようなITセキュリティの優先順位を設定しているかを浮き彫りにしている。
調査にあたって、それぞれの企業に自社のセキュリティ成熟度を分類してもらったところ、9%の企業がセキュリティプロセスの定義にその場しのぎの手法を用い、事象発生後に対応する「事後対策型」、32%の企業がいくつかのポリシーを整備しているが、セキュリティポリシー間で標準化が行われていない「迎合型」と回答した。
43%の企業は、標準化されたポリシーに従って中央一元的なガバナンスを確立し、複数のセキュリティソリューション間である程度の統合がなされているという「事前対策型」で、16%の企業が、セキュリティ業界のベストプラクティスに従って、企業のポリシーを厳格に遵守し、社内全体で高度に統合した自動化セキュリティソリューションを使用している「最適化型」だった。
調査結果からわかるのは、企業はセキュリティ侵害が発生した場合の潜在的な金銭的損害額の数値化ができていない。また、自社を「最適化型」であると回答した企業の3分の1が、意識と保護という観点から自社のITセキュリティがどの程度なのかを把握していなかった。さらに、公的な戦略計画を策定していても、34%の企業は自社のビジネスに打撃を与えかねない情報セキュリティリスクから、十分に保護されていないと考えている。
回答した企業の大半は戦略的セキュリティ計画(SSP)を策定していると回答しているにもかかわらず、5社のうち4社が、過去1年以内に重大なセキュリティインシデントを経験していた。また、80%以上の企業がマルウェアやスパイウェア、ウイルスが主要なセキュリティ脅威と認識しながら、ほぼ3分の1の企業はゼロデイ脅威に対応する次世代セキュリティ・テクノロジーを購入していないか、まだ導入していない。
さらに、5社のうち2社が非公式または臨時の計画しか整備していないか、またはSSPをまったく整備しておらず、大企業では10社のうち6社が公式なSSPを導入するものの、中規模企業では3社のうち2社、小規模企業は2社のうち1社しか導入していなかった。
機密データ保護の管理強化とビジネス継続性の確保に関しては、セキュリティインフラへの投資とその運用経費の削減が、最も優先度が低い。このことは、企業が適切なセキュリティソリューションに対して経費をかける用意があることを示している。
