IPA(情報処理推進機構)は5月10日、文献・アンケート・ヒアリングの3段階で調査を実施した「企業のCISOやCSIRTに関する実態調査2016」の結果を発表した。
同調査は、企業経営者の情報セキュリティに対する関与、組織的な対策状況について把握するため、日・米・欧の従業員数300人以上の企業のCISO(Chief Information Security Officer)、情報システム/セキュリティ担当部門の責任者、担当者に対し行われた。
調査の結果、CISOが経営層として任命されていると、情報セキュリティ対策の実施率は高くなっていることがわかり、この傾向に日・米・欧の差異はなかった。
|
CISOの任命と情報セキュリティ対策推進状況の関係 資料:IPA |
また、CSIRT(Computer Security Incident Response Team)が「期待したレベルを満たしている」と回答した割合は米国45.3%、欧州48.8%に対し、日本は14%となり、欧米の3分の1と大きく差が開く結果となった。
CSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合は日本が73.3%と最多で、米国56.8%や欧州54.2%と比べ2割程度多くなっている。
情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下という結果となった。
こうした結果より、IPAは、日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低く、日本のCSIRTなどの期待レベルの向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことが伺えると考察している。
また、直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上で、設置されているCSIRTなどのインシデント対応組織で訓練・演習を実施していると回答したのは日本が33.4%、米国が39.3%、欧州34.7%と日米欧とも6割以上が実施していなかった。
そのほか、「情報セキュリティポリシー」「セキュリティリスク」の公表意向については、日本に比べ欧米は公表の意向が10ポイント以上少なく、開示しない理由として、欧米は「自社のセキュリティやリスクの情報を開示したくない」と回答する割合が約半数(米国46.2%、欧州50.0%)であるのに対し、日本は18.8%であった。
