HOME 情報セキュリティ資料・報告書・出版物調査・研究報告書「企業のCISOやCSIRTに関する実態調査2017」報告書について

「企業のCISOやCSIRTに関する実態調査2017」報告書について

掲載日　2017年4月13日
独立行政法人情報処理推進機構
技術本部セキュリティセンター

　2015年12月、経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」が公開されました^(*1)。またこれを受け、IPAではCISO等を想定読者に「サイバーセキュリティ経営ガイドライン解説書」を昨年12月8日に公開しています。
　同ガイドラインにはサイバーセキュリティ経営の3原則^(*2)があり、うち1つに経営者がサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要とあります。また、CISOには専門知識に加え、経営者との橋渡し役になること、事業への理解が重要であるとされています^(*3)。
　昨年から実施している「企業のCISOやCSIRTに関する実態調査2017」では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っています。アンケート調査では日・米・欧の従業員300人以上の企業を対象に実施し^(*4)その結果を比較しました。主なトピックは以下のとおりです。

1.アンケート調査（日・米・欧比較）の概要

(1) 調査方法	ウェブアンケート
(2) 調査対象	従業員数300人以上の企業のCISO、情報システム/セキュリティ担当部門の責任者及び担当者
(3) 調査期間	2016年10月上旬～11月上旬

その他、主な調査項目等に関する詳細は報告書のP20をご参照ください。

2.調査結果のポイント

（1）現在、CISOに期待されている役割、スキルは、セキュリティ偏重。セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。

① 経営層とセキュリティ部門をつなぐ橋渡しの役割を重視するのは、17.9%
② 自社の事業目標とセキュリティ対策とを整合させる役割は、14.3%
③ 事業へのIT導入におけるセキュリティ上の助言の役割は、6.0%

また、「CISOに求められるスキル・経験」を聞いたところ自社事業への理解が必要と回答した割合は14.2%であった。(別紙1.)

（2）日本ではCISOが任命されている組織の割合は6割程度で、欧米と20ポイント以上の差がある。また、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なる。

前回調査でのCISO任命率は、日本64.3%(n=588)、米国78.8%(n=598)、欧州85.0%(n=540)。日本ではあまり変化なし。

（3）日本ではCISOの半数以上(58.7%)が、セキュリティ要員（人数）は十分だと回答。一方現場では不足感が過半数。（別紙2.）
①国内のセキュリティ部門の責任者・担当者の55%は、要員の人数が不足していると認識。
②専任CISOが多い欧米では、量的充足度にCISOと現場の認識にズレはない。

考察：日本のCISOはセキュリティ業務に十分時間を割き、セキュリティ部門の活動内容や業務量の把握に努める必要がある。
しかし日本のCISOは兼務が多く、現実的には難しいことがうかがえる。

（4）CSIRT^(*5)を設置したものの、期待したレベルを満たしていると解釈していない日本

①セキュリティ人材の確保の難しさやスキル不足が満足度の低い原因と考えられる（別紙3．（A）、（B））。
②日本のCSIRT設置率は66.8%であり、前回調査時の結果68.2%と比べ大きな変化はない。（別紙4．）

（5）経営層の情報セキュリティへの関与は、重要インフラ企業でも6割～7割程度に留まる日本
①経営層が、情報セキュリティについて審議し、意思決定する会議の設置率は65.0%（別紙5．）。
②国内拠点の情報セキュリティ対策状況を把握・指示している割合は67.4%（別紙6．）

考察：非重要インフラ企業と比べて関与の割合は15ポイント程度高い。しかし、特に社会インフラを担う企業においては、
経営層のいっそうの関与が期待される。