HOMEIPAについて新着情報プレス発表 情報セキュリティに対する経営者の関与、組織的な取り組みについて
日・米・欧で比較調査

本文を印刷する

IPAについて

プレス発表 情報セキュリティに対する経営者の関与、組織的な取り組みについて
日・米・欧で比較調査

~日・米・欧でCSIRT(*1)設置率に差異はないが、日本ではCSIRTに対する満足度が欧米の3分の1~

2016年5月10日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、「企業のCISOやCSIRTに関する実態調査2016」を2016年5月10日(火)に公開しました。

 URL:https://www.ipa.go.jp/security/fy27/reports/ciso-csirt/

 昨年12月に経済産業省とIPAが共同で策定した、“サイバーセキュリティ経営ガイドライン”が公開されました。このガイドラインでは組織の情報セキュリティ対策の推進には経営層の主体的な関与が必要と指摘しています。
 IPAでは企業経営者の情報セキュリティに対する関与、組織的な対策状況について把握するため、文献・アンケート・ヒアリングの3段階で調査を実施しました(*2)。アンケートでは日・米・欧の従業員300人以上の企業を対象に実施し(*3)その結果を比較しました(*4)。主なトピックは以下のとおりです。


(1) CISO(*5)が経営層として任命されていると、情報セキュリティ対策の実施率は高くなる。また、この傾向に日・米・欧の差異はない。
CISOの任命と情報セキュリティ対策推進状況の関係


(2)CSIRTは設置したが、人材の能力・スキル不足を実感しており、現状に満足していない日本
 ①CSIRTが“期待したレベルを満たしている”と回答した割合は米国45.3%、欧州48.8%に対し日本は14%となり、
  欧米の3分の1と大きく差が開く結果となった(別紙2.)。

 ②CSIRT等の有効性を左右する最大の要素として“能力・スキルのある人員の確保”と回答した割合は日本が73.3%と最多で、
  米国56.8%や欧州54.2%と比べ2割程度多い(別紙3.)。

 ③情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%
  欧州61.9%の半分以下(別紙4.)。

 ※なお、CSIRTおよび同等組織の設置状況に日・米・欧の差は余り見られない(別紙5.)。

 考察:日本はCSIRT等への満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低い。日本のCSIRT等の期待レベルの
    向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことが伺える。



(3)日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数。また、訓練・演習実施の機能が無いと回答したCSIRTは6割以上
 ①直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上(別紙6.)

 ②設置されているCSIRT等インシデント対応組織で訓練・演習を実施していると回答したのは日本33.4%、米国39.3%
  欧州34.7%と日米欧とも6割以上が実施していない(別紙7.)

 考察:新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが
    機能するか確認し、課題を把握しておくことが望まれる。



(4) 日本と欧米とで異なる“情報セキュリティポリシー”“セキュリティリスク”の公表意向
 ①日本に比べ欧米は公表の意向が10ポイント以上少ない(別紙8.)

 ②開示しない理由として、欧米は“自社のセキュリティやリスクの情報を開示したくない”と回答する割合が約半数
 (米国46.2%、欧州50.0%)であるのに対し、日本は18.8%であった。(別紙9.)

 考察:欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、
    判断していると考えられる。



アンケート調査(日・米・欧比較)の概要

(1) 調査方法 ウェブアンケート
(2) 調査対象 従業員数300人以上の企業のCISO、情報システム/セキュリティ担当部門の
責任者及び担当者
(3) 調査期間 2015年11月中旬~12月下旬
その他、主な調査項目等に関する詳細は報告書のP27をご参照ください。

脚注

(*1) Computer Security Incident Response Teamの略。サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかわるインシデントに対処するための組織。

(*2) 本調査設計のため、まず文献を調査し日本シーサート協議会会員向けに書面アンケート調査を実施した。その結果を元に日・米・欧の企業向けにウェブアンケートを実施し、更に、CSIRT、CISOを設置している企業を対象にヒアリング調査を実施した。

(*3) 得られた回答数は日本588件、米国598件、欧州540件(英195件、独205件、仏140件)

(*4) 本調査はIPAが実施してきた「情報セキュリティ事象被害状況調査」の後継調査の位置づけ。従前の調査は、1989年から2015年まで25回実施され、2015年1月15日に公表した2014年度版が最後。

(*5) Chief Information Security Officerの略。最高情報セキュリティ責任者。本調査では組織全体の情報セキュリティ対策を統括するCISOまたは同等の責任者を指す。

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 島田/加藤

Tel: 03-5978-7530 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 山北/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。