「企業のCISOやCSIRTに関する実態調査2016」報告書について

（1）CISO^(*4)が経営層として任命されていると、情報セキュリティ対策の実施率は高くなる。また、この傾向に日・米・欧の差異はない。

（2）CSIRT^(*5)は設置したが、人材の能力・スキル不足を実感しており、現状に満足していない日本
　①CSIRTが“期待したレベルを満たしている”と回答した割合は米国45.3％、欧州48.8%に対し日本は14%となり、
　　欧米の3分の1と大きく差が開く結果となった（別紙2.）。

　②CSIRT等の有効性を左右する最大の要素として“能力・スキルのある人員の確保”と回答した割合は日本が73.3%と最多で、
　　米国56.8%や欧州54.2%と比べ2割程度多い（別紙3.）。

　③情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下（別紙4.）。

　※なお、CSIRTおよび同等組織の設置状況に日・米・欧の差は余り見られない（別紙5.）。

　考察：日本はCSIRT等への満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低い。日本のCSIRT等の期待レベルの
向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことが伺える。

（3）日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数。また、訓練・演習実施の機能が無いと回答したCSIRTは6割以上
　①直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上（別紙6.）

　②設置されているCSIRT等インシデント対応組織で訓練・演習を実施していると回答したのは日本33.4%、米国39.3%、
　　欧州34.7%と日米欧とも6割以上が実施していない（別紙7.）

　考察：新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが機能するか確認し、課題を把握しておくことが望まれる。

（4）日本と欧米とで異なる“情報セキュリティポリシー”“セキュリティリスク”の公表意向
　①日本に比べ欧米は公表の意向が10ポイント以上少ない（別紙8.）

　②開示しない理由として、欧米は“自社のセキュリティやリスクの情報を開示したくない”と回答する割合が約半数
　（米国46.2%、欧州50.0%）であるのに対し、日本は18.8%であった。（別紙9.）

　考察：欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、判断していると考えられる。

(*1) 本調査設計のため、まず文献を調査し日本シーサート協議会会員向けに書面アンケート調査を実施した。その結果を元に日・米・欧の企業向けにウェブアンケートを実施し、更に、CSIRT、CISOを設置している企業を対象にヒアリング調査を実施した。

(*2) 得られた回答数は日本588件、米国598件、欧州540件（英195件、独205件、仏140件）

(*3) 本調査はIPAが実施してきた「情報セキュリティ事象被害状況調査」の後継調査の位置づけ。従前の調査は、1989年から2015年まで25回実施され、2015年1月15日に公表した2014年度版が最後。

(*4) Chief Information Security Officerの略。最高情報セキュリティ責任者。本調査では組織全体の情報セキュリティ対策を統括するCISOまたは同等の責任者を指す。

(*5) Computer Security Incident Response Teamの略。サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかわるインシデントに対処するための組織。

• 株式会社三菱総合研究所 
• Value Creation Frontier （再委託先）