HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「企業のCISOやCSIRTに関する実態調査2017」報告書について
掲載日 2017年4月13日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(1) 調査方法 | ウェブアンケート |
---|---|
(2) 調査対象 | 従業員数300人以上の企業のCISO、情報システム/セキュリティ担当部門の 責任者及び担当者 |
(3) 調査期間 | 2016年10月上旬~11月上旬 |
(1)現在、CISOに期待されている役割、スキルは、セキュリティ偏重。セキュリティ部門と経営層をつなぐ橋渡しとしての役割は、まだ企業では認知されていない。
(2)日本ではCISOが任命されている組織の割合は6割程度で、欧米と20ポイント以上の差がある。また、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なる。
(3)日本ではCISOの半数以上(58.7%)が、セキュリティ要員(人数)は十分だと回答。一方現場では不足感が過半数。(別紙2.)
①国内のセキュリティ部門の責任者・担当者の55%は、要員の人数が不足していると認識。
②専任CISOが多い欧米では、量的充足度にCISOと現場の認識にズレはない。
考察:日本のCISOはセキュリティ業務に十分時間を割き、セキュリティ部門の活動内容や業務量の把握に努める必要がある。
しかし日本のCISOは兼務が多く、現実的には難しいことがうかがえる。
(4)CSIRT(*5)を設置したものの、期待したレベルを満たしていると解釈していない日本
(5)経営層の情報セキュリティへの関与は、重要インフラ企業でも6割~7割程度に留まる日本
①経営層が、情報セキュリティについて審議し、意思決定する会議の設置率は65.0%(別紙5.)。
②国内拠点の情報セキュリティ対策状況を把握・指示している割合は67.4%(別紙6.)
考察:非重要インフラ企業と比べて関与の割合は15ポイント程度高い。しかし、特に社会インフラを担う企業においては、
経営層のいっそうの関与が期待される。
(*1)同ガイドラインはその後、2016年12月に改訂され、最新版はver1.1となっている。
(*2)3原則:①経営者のリーダーシップが重要 ②自社以外(ビジネスパートナー等)にも配慮 ③平時からのコミュニケーション・情報共有
(*3)サイバーセキュリティ戦略本部「サイバーセキュリティ人材育成プログラム」(案)
http://www.nisc.go.jp/active/kihon/pdf/jinzai2017.pdf 、p19
(*4)得られた回答数は日本755件、米国527件、欧州526件(英192件、独182件、仏152件)
(*5)Computer Security Incident Response Teamの略。サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかわるインシデントに対処するための組織。
2017年4月13日 | 公開 |
---|