アーカイブ
2020年3月25日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、CISO等の役割および対策の取組み状況を把握するための調査を実施し、その結果と考察等を報告書をとして公開しました。また「サイバーセキュリティ経営ガイドライン準拠の対策実施状況分析ツールβ版」も同時公開しました。
本日公開した「企業のCISO等やセキュリティ対策推進に関する実態調査」はCISO等に求められる役割や組織の対策の実施状況などを調査(脚注1)したものです。主なトピックは以下の通りです。
CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4% そのうち、リスク分析を行っていない組織の割合は21.0%。
ITが事業に必要不可欠で、CISO等がいる組織において、セキュリティリスクの分析を行っていても、その結果を事業リスク評価に役立てていない割合は30.7%(回答の割合が1.と比べて顕著に減らない)
CISO等における課題認識では“リスクの見える化が困難/不十分である”が最多の45.7%
セキュリティ対策にはリスク分析は必須ですが、今回の調査結果では、そのリスク分析の実施に何らかの難しさがあると推察されました。更に仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになりました。
なお本日、「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を同時公開しました。これは、39の設問に回答するだけで、可視化結果として実践状況のレーダーチャートが生成されるチェックシートです。また、ワークシートが複数あり、グループ企業、サプライチェーン、部門間などでの比較も可能です。
この可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取組み方針に関する経営層への説明等に活用されることを想定しています。
この可視化ツールβ版は2020年度の事業において実証実験を行い、実態の把握や事業リスク評価等に活用されるよう、実用に向けて改良する予定です。
対象 | 従業員301人以上かつ、CISO等を任命している国内企業 |
---|---|
方法 | ウェブアンケート調査およびアンケート票調査 |
期間 | 2019年10月1日から10月21日 |
有効回答数 | 534件 |