HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について

本文を印刷する

情報セキュリティ

「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について

掲載日 2018年3月28日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター


「サイバーセキュリティ経営ガイドライン」(経済産業省とIPAが共同策定)(*1)には、経営者が認識すべき3原則が掲げられています。その中で、経営層はサイバーセキュリティリスクを認識し、リーダーシップをとって対策を進めることが必要とあります。
一方、「サイバーセキュリティ人材育成プログラム」(サイバーセキュリティ戦略本部)(*2)では、経営層自らがサイバーセキュリティ対策を企画・立案し、実務者層を動かすことは困難であるとしています。そのため同プログラムは、経営層を補佐し、経営戦略とサイバーセキュリティに関する業務課題を理解したうえで、様々な役割を持った実務者層を指揮する「橋渡し人材」が必要であるとしています。
「CISO等セキュリティ推進者の経営・事業に関する役割調査」では、CISO(*3)およびその補佐役となる橋渡し人材等のセキュリティ推進者が担う役割、とくにセキュリティへの取組みが経営と事業に貢献するようマネジメントする役割(以下、経営・事業に関する役割)について、その実態や期待されている内容を調査するため、文献調査・有識者へのインタビュー調査・アンケート調査を行っています。

1.調査概要

(1) 調査名 「CISO等セキュリティ推進者の経営・事業に関する役割調査」
(2) 調査期間 2017年10月下旬~2018年2月
(3) インタビュー調査の
  対象である有識者
セキュリティ関連の企業団体リーダー
セキュリティコンサルティング会社幹部
海外のセキュリティ関連団体役員
CISO養成プログラムを有する海外の大学のプログラム責任者 等
(4) アンケート調査の
  方法・対象
ウェブアンケート
従業員数301人以上かつCISO等を任命している日本企業において、情報セキュリティに責任を持つ部門長以上あるいはその補佐役(*4)
(5) 内容 CISO等セキュリティ推進者の経営・事業に関する役割について、期待されている内容、実務の実態、課題等

2.調査結果のポイント

(1) 多く(75%超)の経営層は、CISO等セキュリティ推進者の役割として、経営・事業に関する役割を重要視している。

図1:経営層がCISO等に求める役割
図1:経営層がCISO等に求める役割

(2) しかし現在、コーポレートガバナンス(経営に関する役割)や事業貢献の役割を担っているCISO等セキュリティ推進者は半数以下に留まっている。

図2:CISO等が実際に有する役割
図2:CISO等が実際に有する役割

(4)有識者インタビューから得た、主な見解の例は次の通り。

  • (ア) 日本企業における課題
    1. 経営・事業に関する役割に必要となる権限が、CISOに与えられていないから役割を果たせない。
    2. オペレーションの機能(経営層が示した戦略と現場の個別の取組みを調整する機能)が重要であるが、それを実行できるCISO等が十分いない。
  • (イ) 経営・事業に関する役割を遂行するためのポイント
    1. CISO等が機能するためには、経営・事業リスクを管理する組織との連携が重要である。
    2. 事業活動に負担をかけず利便性を考慮したセキュリティルールを作ることが重要である。
    3. 経営にコミットできる人と技術がわかる人を組ませて、チーム制で運用する方法もある。

脚注

(*1)2015年12月公開、2017年11月改訂。

(*2)2017年4月公開。

(*3)Chief Information Security Officer、最高情報セキュリティ責任者。

(*4)得られた回答数は263件。

調査報告書などのダウンロード

実施者

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 島田/木内
TEL:03-5978-7530 FAX:03-5978-7514 E-mail:

更新履歴

2018年3月28日 公開