CSIRT構築済み企業は4割以上に、ただしセキュリティ人材不足の企業が依然8割以上
そもそも、自社の情報セキュリティの状況についてアンケートに答えるという行為自体が、重大な情報漏洩に繋がりかねない件について・・・
自社の情報セキュリティに関する情報というのはとても重要な機密事項になる。CSIRTを組織しているか否か程度なら組織図や役員構成などの公開情報を見ればわかるのであえて秘密にする意味はないが、社内でセキュリティ問題を抱えているシステムに関する情報などは本来絶対に外に出せないものだ。もし「Windows XPを使ったシステムがあります」などといえば、攻撃者にWindows XPの脆弱性を利用すると成功率をあげられることを教えているようなものになる。人材不足などについても同様のことが言える。
この手のアンケートをどう読み解くかは難しい。解答した660社(22%)は自社のセキュリティ情報を無警戒に流出させた間抜けかもしれない。もちろん相手の信頼性や公開できる情報の範囲を熟慮して回答した企業もあるだろうが・・・。この手のアンケートは著しくサンプルが偏っている可能性が高い。集計結果は眉に唾をつけて読み解くしかないだろう。唯一信じられるのは22%が回答したということだけだ。
実は企業のセキュリティ対策の実態というのは非常にセンシティブな情報で簡単には外に出てこない。他社がどうしているのか気になるのは日本人の性かもしれないが、セキュリティに関しては自身の知識と技術、そして良心を頼って進むしかないのである。