アーカイブ

  1. トップページ
  2. アーカイブ
  3. プレスリリース
  4. 2019年度
  5. プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%

プレス発表 CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%

「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書とサイバーセキュリティ経営ガイドライン準拠の対策実施状況の可視化ツールβ版を同時公開

2020年3月25日
独立行政法人情報処理推進機構

IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、CISO等の役割および対策の取組み状況を把握するための調査を実施し、その結果と考察等を報告書をとして公開しました。また「サイバーセキュリティ経営ガイドライン準拠の対策実施状況分析ツールβ版」も同時公開しました。

本日公開した「企業のCISO等やセキュリティ対策推進に関する実態調査」はCISO等に求められる役割や組織の対策の実施状況などを調査(脚注1)したものです。主なトピックは以下の通りです。

1.事業リスク評価が未実施である割合

CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4% そのうち、リスク分析を行っていない組織の割合は21.0%。

図1
図1:セキュリティリスクの事業リスク評価への活用[単一回答](報告書P28から抜粋)

2.分析結果を事業リスク評価に役立てていない割合

ITが事業に必要不可欠で、CISO等がいる組織において、セキュリティリスクの分析を行っていても、その結果を事業リスク評価に役立てていない割合は30.7%(回答の割合が1.と比べて顕著に減らない)

図2
図2:IT依存度カテゴリー1(脚注2)のリスク分析結果の事業リスク評価への活用[単一回答]

3.リスクの見える化が困難/不十分であるが最多の45.7%

CISO等における課題認識では“リスクの見える化が困難/不十分である”が最多の45.7%

図3
図3:セキュリティに関する課題認識 [3つまで回答可](報告書P26から抜粋)

セキュリティ対策にはリスク分析は必須ですが、今回の調査結果では、そのリスク分析の実施に何らかの難しさがあると推察されました。更に仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになりました。

なお本日、「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を同時公開しました。これは、39の設問に回答するだけで、可視化結果として実践状況のレーダーチャートが生成されるチェックシートです。また、ワークシートが複数あり、グループ企業、サプライチェーン、部門間などでの比較も可能です。

この可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取組み方針に関する経営層への説明等に活用されることを想定しています。

この可視化ツールβ版は2020年度の事業において実証実験を行い、実態の把握や事業リスク評価等に活用されるよう、実用に向けて改良する予定です。

アンケート調査概要

アンケート調査概要(脚注3)
従業員301人以上かつ、CISO等を任命している国内企業
ウェブアンケート調査およびアンケート票調査
2019年10月1日から10月21日
有効回答数 534件

脚注

  • 脚注1同様の調査は2015年度、2016年度に「企業のCISOやCSIRTに関する実態調査」2017年度「CISO等セキュリティ推進者の経営・事業に関する役割調査」として過去3回実施
  • 脚注2事業におけるITの依存度を4段階に分類し調査を実施。カテゴリー1は「ITが必要不可欠で、停止による事業全体や重要な事業の停止に繋がる」と定義。
  • 脚注3調査の全体像は文献調査により仮説を立て、アンケート調査の質問設計を行うとともに、有識者および企業インタビュー調査を実施