情報セキュリティに対する経営者の関与、組織的な取り組みに関する日・米・欧の比較調査
~CISO(*1)を置く日本企業の割合は62.6%、米国の設置率95.2%、欧州84.6%と大きく乖離~
2017年4月24日
省庁・団体名
独立行政法人情報処理推進機構
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、「企業のCISOやCSIRTに関する実態調査2017」を2017年4月13日(木)に公開しました。
内容
2015年12月、経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」が公開されました(*2)。またこれを受け、IPAではCISO等を想定読者に「サイバーセキュリティ経営ガイドライン解説書」を昨年12月8日に公開しています。
同ガイドラインにはサイバーセキュリティ経営の3原則(*3)があり、うち1つに経営者がサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要とあります。また、CISOには専門知識に加え、経営者との橋渡し役になること、事業への理解が重要であるとされています(*4)。
昨年から実施している「企業のCISOやCSIRTに関する実態調査2017」では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っています。アンケート調査では日・米・欧の従業員300人以上の企業を対象に実施し(*5)その結果を比較しました。主なトピックは以下のとおりです。
(1)現在、CISOに期待されている役割、スキルは、セキュリティ偏重。セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。
1. 経営層とセキュリティ部門をつなぐ橋渡しの役割を重視するのは、17.9%
2. 自社の事業目標とセキュリティ対策とを整合させる役割は、14.3%
3.事業へのIT導入におけるセキュリティ上の助言の役割は、6.0%
また、「CISOに求められるスキル・経験」を聞いたところ自社事業への理解が必要と回答した割合は14.2%であった。(別紙1.)
(2)日本ではCISOが任命されている組織の割合は6割程度で、欧米と20ポイント以上の差がある。また、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なる。
前回調査でのCISO任命率は、日本64.3%(n=588)、米国78.8%(n=598)、欧州85.0%(n=540)。日本ではあまり変化なし。
(3)日本ではCISOの半数以上(58.7%)が、セキュリティ要員(人数)は十分だと回答。一方現場では不足感が過半数。(別紙2.)
1.国内のセキュリティ部門の責任者・担当者の55%は、要員の人数が不足していると認識。
2.専任CISOが多い欧米では、量的充足度にCISOと現場の認識にズレはない。
考察:日本のCISOはセキュリティ業務に十分時間を割き、セキュリティ部門の活動内容や業務量の把握に努める必要がある。しかし日本のCISOは兼務が多く、現実的には難しいことがうかがえる。
(4)CSIRT(*6)を設置したものの、期待したレベルを満たしていると解釈していない日本。
1.セキュリティ人材の確保の難しさやスキル不足が満足度の低い原因と考えられる(別紙3.(A)、(B))。
2.日本のCSIRT設置率は66.8%であり、前回調査時の結果68.2%と比べ大きな変化はない。(別紙4.)
(5)経営層の情報セキュリティへの関与は、重要インフラ企業でも6割~7割程度に留まる日本。
1.経営層が、情報セキュリティについて審議し、意思決定する会議の設置率は65.0%(別紙5.)。
2.国内拠点の情報セキュリティ対策状況を把握・指示している割合は67.4%(別紙6.)
考察:非重要インフラ企業と比べて関与の割合は15ポイント程度高い。しかし、特に社会インフラを担う企業においては、経営層のいっそうの関与が期待される。
アンケート調査(日・米・欧比較)の概要
| (1) 調査方法 | ウェブアンケート |
|---|---|
| (2) 調査対象 | 従業員数300人以上の企業のCISO、情報システム/セキュリティ担当部門の責任者及び担当者 |
| (3) 調査期間 | 2016年10月上旬から11月上旬 |
脚注
(*1) Chief Information Security Officerの略。最高情報セキュリティ責任者。本調査では組織全体の情報セキュリティ対策を統括するCISOまたは同等の責任者を指す。
(*2) 同ガイドラインはその後、2016年12月に改訂され、最新版はver1.1となっている。
(*3) 3原則:①経営者のリーダーシップが重要 ②自社以外(ビジネスパートナー等)にも配慮 ③平時からのコミュニケーション・情報共有
(*4) サイバーセキュリティ戦略本部「サイバーセキュリティ人材育成プログラム」(案)
(*5) 得られた回答数は日本755件、米国527件、欧州526件(英192件、独182件、仏152件)
(*6) Computer Security Incident Response Teamの略。サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかわるインシデントに対処するための組織。
プレスリリースのダウンロード
資料のダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 島田/小川
Tel: 03-5978-7530 Fax: 03-5978-7518
公表日
2017年4月13日(木)