URAMIRAIKAN

1020のなれの果て (since 2005.6.19)

「とりあえずISMS」ってだけだから

日本企業はISMSに偏りすぎ、他規格も幅広く活用すべし

 プライスウォーターハウスクーパース(PwC)は11月9日、「グローバル情報セキュリティ調査 2016(日本版)」の結果を公表した。全世界での調査結果のほかに、日本における調査結果を、世界の動向と比較しながら示している。

 ~ snip ~

 セキュリティフレームワークの活用に関しては、日本においてISO27001(ISMS)の認証取得企業が7181社(2014年実績)となり、全世界の30%を占めるほどに突出していること、さらにこれが現在も増加傾向にあることを示す一方、世界ではISO27001のほかにも「NISTサイバーセキュリティフレームワーク」「SANS 20クリティカルコントロール」「ISFグッドプラクティス標準」など幅広いセキュリティフレームワークを利用していることを挙げ、日本におけるISO27001への集中傾向を指摘した。

 日本のIT業界だと仕事を受けるのにISMSを取得していることとかがあるので、どうしても優先度が高くなりますかね。だからといってセキュリティとかに真剣に取り組んでるわけでもないから、売上に結びつかないセキュリティフレームワークとかに興味がないんじゃないかと。
 ちゃんと考えているところも間違いなく増えているんだと思いますが。

 そういえば、前の会社では「印刷物は全部シュレッダー」とか「デスクの上にはものを一切置かない」とか、マネジメントというよりは一切の判断をさせずに手当たり次第排除するような感じでした。それはそれで気持ちはわかりますけどね。