2015年12月、経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」が公開された。またこれを受け、IPAではCISO(Chief Information Security Officer)等を想定読者に「サイバーセキュリティ経営ガイドライン解説書」を12月8日に公開している。
「企業のCISOやCSIRTに関する実態調査2017」の調査結果について
説明するIPA技術本部 セキュリティセンター
情報セキュリティ分析ラボラトリー 主任研究員 島田 毅氏
同ガイドラインには、サイバーセキュリティ経営の3原則があり、うち1つに経営者がサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要としている。また、CISOには専門知識に加え、経営者との橋渡し役になること、事業への理解が重要であるとされている。
昨年から実施している「企業のCISOやCSIRTに関する実態調査2017」では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っている。アンケート調査では日・米・欧の従業員300人以上の企業を対象に実施しその結果を比較した。主なトピックは次のとおり。
(1) 現在、CISOに期待されている役割、スキルは、セキュリティ偏重。セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。
- 経営層とセキュリティ部門をつなぐ橋渡しの役割を重視するのは、17.9%
- 自社の事業目標とセキュリティ対策とを整合させる役割は、14.3%
- 事業へのIT導入におけるセキュリティ上の助言の役割は、6.0%
また、「CISOに求められるスキル・経験」を聞いたところ自社事業への理解が必要と回答した割合は14.2%であった。
(2) 日本ではCISOが任命されている組織の割合は6割程度で、欧米と20ポイント以上の差がある。また、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なる。
前回調査でのCISO任命率は、日本64.3%(n=588)、米国78.8%(n=598)、欧州85.0%(n=540)。日本ではあまり変化なし。
(3) 日本ではCISOの半数以上(58.7%)が、セキュリティ要員(人数)は十分だと回答。一方現場では不足感が過半数
- 国内のセキュリティ部門の責任者・担当者の55%は、要員の人数が不足していると認識。
- 専任CISOが多い欧米では、量的充足度にCISOと現場の認識にズレはない。
IPAの考察:日本のCISOはセキュリティ業務に十分時間を割き、セキュリティ部門の活動内容や業務量の把握に努める必要がある。しかし日本のCISOは兼務が多く、現実的には難しいことがうかがえる。
(4) CSIRT(Computer Security Incident Response Team)を設置したものの、期待したレベルを満たしていると解釈していない日本。
- セキュリティ人材の確保の難しさやスキル不足が満足度の低い原因と考えられる。
- 日本のCSIRT設置率は66.8%であり、前回調査時の結果68.2%と比べ大きな変化はない。
(5) 経営層の情報セキュリティへの関与は、重要インフラ企業でも6割~7割程度に留まる日本
- 経営層が、情報セキュリティについて審議し、意思決定する会議の設置率は65.0%。
- 国内拠点の情報セキュリティ対策状況を把握・指示している割合は67.4%。
IPAの考察:非重要インフラ企業と比べて関与の割合は15ポイント程度高い。しかし、特に社会インフラを担う企業においては、経営層のいっそうの関与が期待される。
