SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

CISO設置企業の割合は日本62.6%、米国95.2%、欧州84.6%と大きく乖離――IPAが発表

 2015年12月、経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」が公開された。またこれを受け、IPAではCISO(Chief Information Security Officer)等を想定読者に「サイバーセキュリティ経営ガイドライン解説書」を12月8日に公開している。

IPA技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリー 主任研究員 島田 毅氏

「企業のCISOやCSIRTに関する実態調査2017」の調査結果について
説明するIPA技術本部 セキュリティセンター 
情報セキュリティ分析ラボラトリー 主任研究員 島田 毅氏

 同ガイドラインには、サイバーセキュリティ経営の3原則があり、うち1つに経営者がサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要としている。また、CISOには専門知識に加え、経営者との橋渡し役になること、事業への理解が重要であるとされている。

 昨年から実施している「企業のCISOやCSIRTに関する実態調査2017」では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っている。アンケート調査では日・米・欧の従業員300人以上の企業を対象に実施しその結果を比較した。主なトピックは次のとおり。

 (1) 現在、CISOに期待されている役割、スキルは、セキュリティ偏重。セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。

図1:現在重要視されているCISOの役割(作成:IPA)  
  1. 経営層とセキュリティ部門をつなぐ橋渡しの役割を重視するのは、17.9%
  2. 自社の事業目標とセキュリティ対策とを整合させる役割は、14.3%
  3. 事業へのIT導入におけるセキュリティ上の助言の役割は、6.0%

 また、「CISOに求められるスキル・経験」を聞いたところ自社事業への理解が必要と回答した割合は14.2%であった。

 (2) 日本ではCISOが任命されている組織の割合は6割程度で、欧米と20ポイント以上の差がある。また、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なる。

図2:CISO任命率[今回調査](作成:IPA)  

 前回調査でのCISO任命率は、日本64.3%(n=588)、米国78.8%(n=598)、欧州85.0%(n=540)。日本ではあまり変化なし。

 (3) 日本ではCISOの半数以上(58.7%)が、セキュリティ要員(人数)は十分だと回答。一方現場では不足感が過半数

  1. 国内のセキュリティ部門の責任者・担当者の55%は、要員の人数が不足していると認識。
  2. 専任CISOが多い欧米では、量的充足度にCISOと現場の認識にズレはない。

IPAの考察:日本のCISOはセキュリティ業務に十分時間を割き、セキュリティ部門の活動内容や業務量の把握に努める必要がある。しかし日本のCISOは兼務が多く、現実的には難しいことがうかがえる。

 (4) CSIRT(Computer Security Incident Response Team)を設置したものの、期待したレベルを満たしていると解釈していない日本。

図3:CSIRTの有効性に対する満足度  
  1. セキュリティ人材の確保の難しさやスキル不足が満足度の低い原因と考えられる。
  2. 日本のCSIRT設置率は66.8%であり、前回調査時の結果68.2%と比べ大きな変化はない。

 (5) 経営層の情報セキュリティへの関与は、重要インフラ企業でも6割~7割程度に留まる日本

  1. 経営層が、情報セキュリティについて審議し、意思決定する会議の設置率は65.0%。
  2. 国内拠点の情報セキュリティ対策状況を把握・指示している割合は67.4%。

IPAの考察:非重要インフラ企業と比べて関与の割合は15ポイント程度高い。しかし、特に社会インフラを担う企業においては、経営層のいっそうの関与が期待される。

 

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/9169 2017/04/13 14:30

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング