近年、企業経営においては、ITを積極活用した「攻めの経営」と、情報資産やシステムを保護する「守りの経営」とを高いレベルで両立することが求められています。このためには、経営方針に基づき、セキュリティに関して企業内の調整や実務者層をリードできる人材(CISO等(*1))及び同方針に基づいたセキュリティ対策の実践が必要であると考えられます。
経済産業省と独立行政法人情報処理推進機構(IPA)は、2017年11月にサイバーセキュリティ経営ガイドライン Ver 2.0を発行しました。これを受け、IPAは、サイバー攻撃への対策強化に向けて、国内での実践事例を基にしたプラクティス集を作成しました。
そこでIPAは、これらの取組みの充実を図るべく、経営層を支えるCISO等の対策実践力を強化支援し、組織のセキュリティ対策レベルの向上に資することを目的とする調査を行いました。本調査では、国内のサイバーセキュリティ対策状況及び、CISO等の在り方や動向について、文献調査/有識者・企業インタビュー調査/アンケート調査を実施し、結果と得られた知見をまとめています。
English
アーカイブ
企業のCISO等やセキュリティ対策推進に関する実態調査
最終更新日 2020年3月25日
独立行政法人情報処理推進機構
セキュリティセンター
| (1) 調査名 | 「企業のCISO等やセキュリティ対策推進に関する実態調査」 |
|---|---|
| (2) 調査期間 | 2019年7月~2020年2月 |
| (3) インタビュー調査の 対象である有識者 |
グローバルIT企業のCISO セキュリティ関連の業界団体幹部 複数企業における補佐官の経験者 |
| (4) インタビュー調査の 対象である企業 |
先進的なサイバーセキュリティ対策に取り組む国内企業7社 |
| (5) アンケート調査の 方法・対象 |
ウェブアンケート調査及びアンケート調査票 従業員数301人以上かつCISO等を任命している日本企業におけるCISO等、情報システム/セキュリティ/リスク管理担当部門の責任者や、CISOや情報システム/セキュリティ/リスク管理担当部門の責任者の補佐役等(*2) |
| (6) 内容 | 日本企業のCISO等の経営・事業的役割に関する動向や企業のセキュリティ対策の取組み状況を把握する |
(1) 現在、CISO等に求められる役割は、「経営層との橋渡し」が最も多く(45.5%)、以下、「セキュリティ対策の推進(45.3%)」「セキュリティ目標・計画・予算の策定・評価(29.2%)」が続く。また、今後はこれらの役割に加え、「セキュリティ人材の育成・確保(31.8%)」が特に重要視されている。
図1:重視しているCISO等の役割
(2) また、セキュリティ対策を推進する上での課題認識としては「経営層のリスク感度が低い(9.7%)」、「経営層にITやセキュリティの重要性を理解してもらえない(9.4%)」であり、経営層のセキュリティに対する全般的なリスク認識は高まっている一方、「リスクの見える化が困難/不十分(45.7%)」が最多であった。
図2:課題認識
(3)さらに、ITが事業に必要不可欠で、CISO等がいる組織において、セキュリティリスクの分析を行っていない(16.5%)、またはリスク分析を行っていてもその結果を事業リスク評価に役立てていない割合は30.7%であり、事業リスク評価につなげられていない組織が半数近く存在する。
図3:IT依存度カテゴリー1におけるリスク分析結果の事業リスク評価への活用
調査報告書のダウンロード
実施者
本件に関するお問い合わせ先
IPA セキュリティセンター 半貫/ジリエ
TEL:03-5978-7530 FAX:03-5978-7514 E-mail:
TEL:03-5978-7530 FAX:03-5978-7514 E-mail:
更新履歴
| 2020年3月25日 | 公開 |
|---|