日本企業の情報セキュリティ対策への遅れが詳らかになった。情報処理推進機構(IPA)が2017年4月13日に公開した「企業のCISOやCSIRTに関する実態調査2017」によると、CISO(最高情報セキュリティ責任者)を任命している日本企業の割合は欧米に比べて低く、かつ専任が少ないという結果になった。CSIRTに関しても、設置はしたものの、そのレベルに対する満足度が低いという意見が多い。
今回の調査は、日・米・欧の従業員300人以上の企業のCISOおよび情報システム部門、情報セキュリティ担当部門の責任者/担当者を対象にウェブアンケートで行われた。有効回答数は日本が755件、米国が527件、欧州が526件(英192件、独182件、仏152件)。
IPAでは2015年12月、経済産業省と共同で「サイバーセキュリティ経営ガイドライン」を公開している。経営者向けを謳ったこのガイドラインでは「サイバーセキュリティ経営の3原則」を示している。即ち①経営者のリーダーシップが重要②自社以外(ビジネスパートナー等)にも配慮③平時からのコミュニケーション・情報共有の3つだが、このうち①においてCISOが経営との橋渡しの役目を担うことになる。
そのCISOの任命状況だが、米国の95.2%、欧州の84.6%に比べ日本は割合が低く、全体の62.6%に止まっている。更に、日本の場合62.6%のうち34.7%が兼任のCISOで、専任はわずか27.9%。米国の78.7%、欧州の67.1%と比べ極端に少ないことがわかった(グラフ1)。
(グラフ1)CISO任命率(出所:IPA(企業のCISOやCSIRTに関する実態調査2017」)拡大画像表示
次に、CISOに求められるスキル・経験として上げられたのは、日米欧の差はなく「セキュリティ技術分析・評価」が最も多かった(日本は52.0%)。「CISOが経営との橋渡し」という回答は17.9%(日本)にすぎず、経営課題という観点からCISOに求められる役割を理解している割合は、日米欧ともまだ少ないことがわかった。
そのほか、「事業目標との整合」という回答も少ない(日本14.3%)など、CISOが経営に寄り添ったポジションであるべきということを理解している企業は、日欧米ともまだ限られているのが現状のようだ(グラフ2)。
(グラフ2)現在重要視されているCISOの役割(出所:IPA「企業のCISOやCSIRTに関する実態調査2017」)拡大画像表示
CSIRTに関しても、設置状況は欧米に比べてやや低いことがわかった。CSIRTあるいは名称は異なるがインシデント対応を担当する組織がある企業の割合は米国の90.1%、欧州の78.0%に対して日本は66.8%だった。気になるのは、1年前の前回調査との比較で、米国は前回の69.7%から20.4ポイント、欧州も6ポイント増加しているのに対し、日本は1.4%微減していることだ。危機意識の低さが表われているとも考えられる(グラフ3)。
(グラフ3)CRIRT設置状況(出所:IPA「企業のCISOやCSIRTに関する実態調査2017」)拡大画像表示
会員登録(無料)が必要です
