HOMEIPAについて新着情報プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%

本文を印刷する

IPAについて

プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%

~「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書とサイバーセキュリティ経営ガイドライン準拠の対策実施状況の可視化ツールβ版を同時公開~

2020年3月25日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、CISO等の役割および対策の取組み状況を把握するための調査を実施し、その結果と考察等を報告書をとして公開しました。また「サイバーセキュリティ経営ガイドライン準拠の対策実施状況分析ツールβ版」も同時公開しました。

 本日公開した「企業のCISO等やセキュリティ対策推進に関する実態調査」はCISO等に求められる役割や組織の対策の実施状況などを調査(*1)したものです。主なトピックは以下の通りです。

  1. CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4% そのうち、リスク分析を行っていない組織の割合は21.0%。

    図1
    • リスクを分析し、結果を経営層の事業リスク評価に役立てている
    • リスクを分析してはいるが、結果を経営層の事業リスク評価に役立てていない
    • リスク分析を行っていない
    • わからない
    • 無回答
    図1:セキュリティリスクの事業リスク評価への活用[単一回答](報告書P28から抜粋)
  2. ITが事業に必要不可欠で、CISO等がいる組織において、セキュリティリスクの分析を行っていても、その結果を事業リスク評価に役立てていない割合は30.7%(回答の割合が1.と比べて顕著に減らない)

    図2
    • リスクを分析し、結果を経営層の事業リスク評価に役立てている
    • リスクを分析してはいるが、結果を経営層の事業リスク評価に役立てていない
    • リスク分析を行っていない
    • わからない
    • 無回答
    図2:IT依存度カテゴリー1(*2)のリスク分析結果の事業リスク評価への活用[単一回答]
  3. CISO等における課題認識では“リスクの見える化が困難/不十分である”が最多の45.7%

    図3
    • 1. リスクの見える化が困難/不十分である
    • 2. インシデント発生に備えた準備が不十分である
    • 3. 担当者の専門知識が不足している
    • 4. 経営とセキュリティの両方を理解している人材がいない
    • 5. 予算が不足している
    • 6. セキュリティ対策が場当たり的になって
    図3:セキュリティに関する課題認識 [3つまで回答可](報告書P26から抜粋)

 セキュリティ対策にはリスク分析は必須ですが、今回の調査結果では、そのリスク分析の実施に何らかの難しさがあると推察されました。更に仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになりました。

 なお本日、「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を同時公開しました。これは、39の設問に回答するだけで、可視化結果として実践状況のレーダーチャートが生成されるチェックシートです。また、ワークシートが複数あり、グループ企業、サプライチェーン、部門間などでの比較も可能です。
 この可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取組み方針に関する経営層への説明等に活用されることを想定しています。

 この可視化ツールβ版は2020年度の事業において実証実験を行い、実態の把握や事業リスク評価等に活用されるよう、実用に向けて改良する予定です。

アンケート調査概要(*3)
従業員301人以上かつ、CISO等を任命している国内企業
ウェブアンケート調査およびアンケート票調査
2019年10月1日-10月21日
有効回答数 534件
実態調査報告https://www.ipa.go.jp/security/fy2019/reports/2019DL_index.html
可視化ツールβ版: https://www.ipa.go.jp/security/economics/checktool/index.html

脚注

  • (*1)同様の調査は2015年度、2016年度に「企業のCISOやCSIRTに関する実態調査」2017年度「CISO等セキュリティ推進者の経営・事業に関する役割調査」として過去3回実施
  • (*2)事業におけるITの依存度を4段階に分類し調査を実施。カテゴリー1は「ITが必要不可欠で、停止による事業全体や重要な事業の停止に繋がる」と定義。
  • (*3)調査の全体像は文献調査により仮説を立て、アンケート調査の質問設計を行うとともに、有識者および企業インタビュー調査を実施

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 半貫/ジリエ

Tel: 03-5978-7530  E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報戦略グループ 白石

Tel: 03-5978-7503  E-mail: 電話番号:03-5978-7503までお問い合わせください。