米国における
情報セキュリティー問題の現状-5-

１．米国企業の情報セキュリティ環境
政府のセキュリティ政策と同様、米国企業の間でも、つい最近まで情報セキュリティにあまり注意が払われていなかった。もちろん経営者たちは、IT資産を有効に活用することの重要性をかなり以前から認識しており、このため、IT担当役員やサポートスタッフを社内に設けることに対しては各社とも積極的であった。しかし、情報セキュリティの重要性までを理解できるほど経営者の技術への造詣は高くなく、またプロジェクトの有効性を客観的指標で把握するのが常である経営者にとって、何か問題が起こらない限りその有効性を正確に知ることはできないという情報セキュリティの性格上、関心が高まりにくかったであろうことは容易に想像がつく。こうした風潮も、ここに来て少しずつ変わりつつあることが示唆されている。各社経営陣の世代交代が進むに連れて技術への関心も上向くと期待されるほか、セキュリティ関連サービスや製品を供給する企業が着実に増えていることが、企業幹部の意識改革に貢献しているからである。

Information Week誌とアーンスト＆ヤング（Ernst & Young）が、IT責任者を対象に毎年行っている情報セキュリティ調査の、97年9月発表の第5回調査によると、全米627社の74%の経営陣が、「情報セキュリティは企業にとって重要である」と認識しており、2年前の65%に較べ増大している。また、人員配置に関しては、「1?4名のフルタイム専門職を情報セキュリティ担当者としている」と答えた企業が70％に達し、昨年に較べ10％ポイントの増加を示した。情報セキュリティ構築の上での主要な障害としては、「予算の不足」を挙げる社が58%、「人員の不足」が55%、「認知の不足」が46%、「ツールの欠如」が40%となっているが、このうち人員不足については昨年は65%の社が挙げていたのに較べると比率が低減している。そのほか参考になる調査結果としては、セキュリティに対する脅威として、回答者の75％が「自社の社員」を挙げているほか、「コンピュータ・テロリスト」「ITサービス事業者及びコンサルタント」を挙げた回答も、それぞれ約70％、60％に上った。（「競合企業」という回答は、50％をやや下回った。）また、セキュリティ問題のアナリストらがこぞって「情報リスク管理に不可欠」と指摘する「アクティビティ・モニタリング・ネットワーク」などの技術を導入している企業は、まだ55%にしか達していない。セキュリティ・ツールとしては、「アンチ・ウィルス・ソフト」が85%の企業に、「PCへのアクセス管理」が50%に、「ファイアウォール」が47%に、「ダイアルバック・モデム」が30%に、それぞれ採用されている。セキュリティ侵害が起きた後での事業継続計画が策定されている企業は63%に上るが、残念ながらそのうちの42%の企業はその計画が実際に働くかどうかの検証を行っていない。全体的な傾向として、「情報セキュリティ管理の集中化」が挙げられ、回答企業のおよそ80％が、セキュリティ関連業務を1箇所で統括する体制を採っている。

また、ゾナ・リサーチがコンピュータ・セキュリティ研究所（Computer Security Institute = CSI）と共同でフォーチュン500社や主要政府機関のネットワーク・セキュリティ管理担当者を対象に行った「1998年の情報セキュリティ市場」に関する調査では、回答者の、58%が「98年の情報セキュリティ予算は前年より増額される予定」と報告している。因みに「ほぼ前年並み」との回答は35％で、「減額を予定」と答えた者は6％であった。セキュリティ・ツールの導入についても調査が行われている。それによれば、「暗号製品」は58%が既に導入済みで、未導入のうちの43%が98年中に導入する。「ファイアウォール」は既に80%が導入しており、未導入のうちの33%が98年中に導入する。ファイアウォールだけでは不十分とされ、それを補うものとされる「侵入探知システム」については、30%以上が98年中に導入する、等々となっている。加えてこの調査では、セキュリティ関連の専門会議への参加者数が、この1年で急増していることを指摘している。例えば、年1回開催の「CSIコンファレンス」は、昨年の第24回会議に過去最高の2,000人を集めている。同様に、セキュリティ関連団体の会員数も伸びており、全米コンピュータ・セキュリティ協会（National Computer Security Association = NCSA）の場合、企業メンバーの数が最近2年間で倍増したという。

　さらにCSIが98年4月にまとめた情報セキュリティ担当部門の人員規模に関する調査によると、企業の全従業員に情報セキュリティ担当者が占める割合は、平均0.061％であることが判明した。この数字は、CSIが89年調査時の平均値（0.033％）と比べ、ほぼ2倍にあたる。セキュリティ担当者の比率は、IT関連スタッフの中でも総体的に上昇しているという。各社はさらに、今後1年間で、情報セキュリティ・スタッフを平均18％増員する計画である。また、企業の情報セキュリティ予算のうち、スタッフの人件費は4割近くを占めており、残る6割強がツールや運営にかかるコストとなっており、社外にアウトソーシングされているセキュリティ業務の比率は、平均5.83％であった。

以上のような調査結果から読み取ることができるのは、米国企業の間で、情報セキュリティに対する意識と投資レベルが確実に向上しつつあるという事実である。かつて、ITシステムの中に簡単に組み込むことができる効果的なセキュリティ製品はほとんど存在しなかったため、それらを導入しようとする企業も稀であった。しかし最近では、有力IT企業がこぞって情報セキュリティ製品の充実に力を入れており、セキュリティ・リスクの深刻さも徐々に各社に理解されようとしている。さらに、情報セキュリティ担当者を対象としたトレーニング・センターや各種のリソースも豊富に提供されるようになっており、スタッフの能力レベル向上が効果的に追求できる環境が整い始めている。