ウチの会社の場合は　ある程度のセキュリティは行っているのですが
それ以上をやろうとすると経営層から「金がない」「今は不況で先送りにしてほしい」と言われています。
"それ以上"といってもこのガイドラインでいえば"最低限"のことなのです。
パソコンの台数が多いとちょっとしたことでも（例えばパソコンにセキュリティソフトを入れようと１台あたり１万円としても）すぐに数百万円ということになって経営的にも簡単にはいかないのです。

「金がない」ことは判っていても必要性は言い続けなければならないのでこのガイドラインも示しながら説得していこうと思っています。

現実的にセキュリティについては、優先度はかなり低いですね。最低限のウイルスソフト程度でしかやることはできません。あとは個人的なモラルに期待です。そんなお金を掛ける余裕がありません。

アクセスログ解析なんか遠い向こうの世界のお話しです。お恥ずかしいですがそんなところです。

弊社はＳＩ企業になりますので、セキュリティについてはそれなりに多くの施策がとられているように思います。

・エンドポイント対策を含め、暗号化や社内重要情報の整理、操作ログ監視、一部アプリケーションの使用制限、バックアップ、etc...

他社さんでも同じ状況だとは思いますが、やはりセキュリティを重んじるのか、業績を重んじるのか、という議論が止みません。
あまりにポリシー通りのガチガチのルールを作成した所で、現場での都合が悪ければ守ってもらえませんし、結局は一人一人の意識に任せるしかありません。「一人一人に任せる」というのが不安に感じる企業は、その問題をシステム導入で解決するのでしょうが、我々のような中小企業にはその予算がおそらく無いでしょうね…。

弊社でもルールは定めており、現場部門への広報もしていますが、中には我々情報システム部門の役割を根本から疑っているような社員からは「邪魔者」扱いしかされません。
そういった方に対しては、まず我々が現場の業務内容を理解した上で、出来る限りの対応を「要請」する形です。

セキュリティは、交通ルールのようなものだとよく聞くことがありますが、常に注意を促して、尚且つ優しく浸透させていかなければいけないものなのでしょうね。