次に、「重要な情報」のセキュリティ対策の実施内容（複数回答）では、「アクセス制御」が341件、「データ暗号化」が327件、「定期的なセキュリティ監査」が308件、「セキュリティパッチ適用」が305件、「ログ管理と監視」が291件、「多要素認証／生体認証」が257件、「侵入検知／侵入防止」が251件などだった。 　特に「データ暗号化」では、通信中／保存中／計算中の全てで暗号化しているとした回答者が49.8％、通信中／保存中のみの暗号化が21.0％、通信中のみの暗号化が7.4％で、「分からない」は18.8％だった。 　これについて石田氏は、ほぼ半数の回答者が通信中／保存中／計算中の全てで暗号化を実施しているとした点を指摘。通信中の暗号化ではSSL/TSLなど、保存中の暗号化では「Windows」の「BitLocker」などが知られるが、データを暗号化したままでの計算処理は、メインフレームやそれに対応したCPU、アプリケーションでなければ実行することが難しく、回答者がデータの暗号化に関する技術などをあまり理解していない可能性があるという。 　また、「重要な情報」の適切な保存先では、「オンプレミス」が53.8％、「クラウド」が27.5％、「（鍵付きのキャビネットなど）物理的に隔離された環境」が18.6％だった。「重要な情報」の保存先をオンプレミスにすべきと考える理由（複数回答）には、「自社でコントロールできる環境だから」が292件、「海外ベンダーのサービスでは各国当局のアクセスが懸念されるから」が148件、「クラウド事業者の運用を信用できないから」が138件、「コストが安いから」が80件、「自社の要件を満たさないから」が67件などだった。 　石田氏は、「オンプレミスなら手元で保護できるだろうといった心情的な部分は理解できるものの、社外からVPN経由でのアクセスといったように、実際のデータは社内外で利用されている。オンプレミスの方が安全というのは適切な対策や運用、設定がなされていることが前提であり、クラウドであっても設定不備などがあれば情報漏えいのリスクがある」と話し、いずれにもしてもユーザー自身で大切な情報をどう守るかを考えることが肝心だとした。 　最後に、回答者がSaaSベンダー選定時に重視するセキュリティについては、「第三者機関による認証」が45.2％で最も多く、以下は「サービスの認証方式」「先端テクノロジー」「監査ログの有無などの運用性」「データの所在（国内／海外など）」だった。 　先述のデータ暗号化に関連して石田氏は、海外のクラウドサービスでは、ユーザー自身がデータの暗号鍵を管理する「Bring Your Own Key」（BYOK）が一般的であるものの、日本ではあまり知られていないと解説する。「BYOKはユーザーが自分でデータ資産を守る1つの方法であり、これを行えばクラウド事業者がユーザーのデータを利用することができない。ただし、データと暗号鍵が同じ場所に保存されていては意味がない」（石田氏） 　同社は、米Fortanixと協力して2023年12月にBYOK機能の提供を開始し、ジェーシービー（JCB）が利用している。だが石田氏は、「実はJCBさん以外にはあまりご採用をいただいていない」と明かし、「BYOKを知らないユーザーが多く、当社もユーザーに紹介できていない課題がある。ベンダーがきちんと啓発を行い、ユーザーが活用する両輪で推進しなければならない」とした。 　調査結果から石田氏は、企業にとってセキュリティ対策が事業継続性の観点から重大な経営課題であるにもかかわらず、経営層とITの現場で認識や理解に大きなギャップがあると指摘し、「重要な情報」などの資産やリスクを可視化、評価して、適切な対策を講じるべきだとした。また、企業全体で正しいセキュリティの知識や経験などをアップデートし続けることも必要で、それを組織文化として実践できるよう経営層から推進していくべきだとも語った。