発表によると、デジタル・ビジネスの取り組みにおける企業の情報セキュリティにとって、「人材」が重要な要素になりつつあるが、昨今の情報漏洩や標的型攻撃の対策として、この2年間に情報システム部門で、情報セキュリティの専門職を採用したかという質問に対し、回答者の約半数となる48.9%の企業がセキュリティ人材の「採用計画がない」と答える結果となった(図1)。
この調査の中で、情報セキュリティの役割を「兼務(専任は除く)」で担当している人材の数を尋ねたところ、「4人以上」いると答えた企業が多く、兼務による情報セキュリティ人材が「ゼロ」であると回答した企業は、10.7%しか存在しないことが明らかになった。81.3%の企業は、情報セキュリティを兼務で担当する人材がいると回答している。
また、自社の情報セキュリティ人材がどのような肩書きや資格を保有しているかを尋ねた結果、「肩書きはない(兼務など)」が最も多く(43.1%)、次に「情報セキュリティ委員長」が36.6%、「プライバシーマーク委員長」が19.7%となった。自社に最高情報セキュリティ責任者(CISO)がいると答えた企業の割合は、18.9%だった(図2)。
今回の結果について、ガートナーのリサーチ部門リサーチディレクターの石橋正彦氏は、「企業のCEOは、CISOという肩書きを持った専任の人材を任命すべきです。CISOは、単なる技術部門の責任者ではなく、取締役会の一員として不可欠な存在になる必要があります。ガートナーでは、CIOとCISOの役割を明確に分けており、CISOの最も重要な役割として、『取締役会で情報セキュリティ予算を獲得する』ことを挙げています。CISOには、情報セキュリティに関する技術や知識、監査などの能力に加え、CEOやCIOと対話し、取締役に対して説明できる高いコミュニケーション・スキルが求められます」と述べている。
また同氏は、CISOの任命に加えて、情報セキュリティの新しい組織であるCSIRT(Computer Security Incident Response Team)を構築する重要性について、「CSIRTは、2014年頃から日本でも構築する企業が登場してきており、情報セキュリティ・アーキテクトなどの専門家を含む、自社でインシデントを解析できる組織でなければなりません。しかし、昨今構築されたCSIRTを見てみると、『システム障害を取締役会に報告するための組織である』とCIO/CISOが誤認しているケースが見受けられます。今後は、自社のセキュリティの成熟度に応じて、技術スキルとビジネス・スキルを兼ね備え、インシデントに対処できるCSIRT管理者がますます求められるようになります」と述べている。
なお、ガートナーでは7月13~15日に、虎ノ門ヒルズフォーラム(東京都港区)において、「ガートナー セキュリティ & リスク・マネジメント サミット 2015」を開催する。このイベントでは、ガートナーの国内外のアナリスト/コンサルタントが、デジタル・ビジネスに備える「人材、統制、サイバー」について、最新動向を踏まえたセッションを展開する。
