我が社の情報セキュリティ対策は、どのレベルにあるのか――。これを客観的に評価するためのフレームワーク「IDC MaturityScape：IT Security」を開発したIDCは2016年10月19日、国内企業の情報セキュリティ成熟度に関する調査結果を発表した。

調査対象となったのは、従業員数500人以上の国内企業で、回答者は自社の情報セキュリティに関わる課長職以上。200件の有効回答を得たその結果だが、日本企業の情報セキュリティ成熟度は米国と比べて遅れていることが明らかになった。

セキュリティ成熟度を5段階評価IDCのフレームワークでは、情報セキュリティ成熟度を5段階で評価している。ステージ1（個人依存）、ステージ2（限定的導入）、ステージ3（標準基盤化）、ステージ4（定量的管理）、ステージ5（継続的革新）の5段階である。

情報セキュリティ成熟度の5つのステージ

ステージ1は、“情報セキュリティ初心者”のレベルにある企業だ。「決まったセキュリティ予算がなく、どちらかというと“場当たり的”にセキュリティ対策をしている企業。外圧や問題が起こらないと対策を行わない」とIDC Japanの登坂恒夫氏は、ステージ1企業の特徴を解説した。

ステージ2になると、セキュリティ予算が確保され、セキュリティ専任の正社員もいる。ただし、基本的には「コンプライアンスの観点からのセキュリティ対策であり、リスクを考慮した対策までは至っていない」（登坂氏）。このため、効果的なセキュリティ投資は行えていない状態だ。

ステージ3になると、リスクを考慮したセキュリティ対策は実施している。「ただし、全体としては、コンプライアンス対応にフォーカスしており、新しい事業や生産性向上のためのリスク管理は行っていない」（登坂氏）という。

IDC Japanの調査によると、この上のステージ4との間には大きな溝があり、日本企業の8割以上がステージ3までのレベルにとどまっている。

自社のビジネスにどういう影響を与える可能性があるのか――。予想される損害を想定したうえで、費用対効果の高い情報セキュリティ投資を行うというリスク管理の視点に乏しく、「内部統制、コンプライアンス対応に終始している」（登坂氏）。これが日本企業の特徴だ。

国内情報セキュリティの成熟度ステージ分析