ガートナー ジャパンは7月24日~26日、年次イベント「セキュリティ&リスク・マネジメント サミット 2018」を開催した。その3日目の講演には、NRIセキュアテクノロジーズ GRCプラットフォーム室 室長 足立道拡氏が登壇。「セキュリティ経営の最前線 ~グローバル5か国調査の結果をふまえて~」と題し、「セキュリティ経営」の必要性を訴えた。
セキュリティ経営、日本の実態は?
サイバー攻撃の高度化に伴い、セキュリティは、単に攻撃から企業を守るだけでなく、企業のブランドを守ったり、従業員の働きやすさを保証したりといった役割をも担うようになってきた。
「セキュリティ経営」とは、こうした状況の今、さまざまなデータを統合して企業のセキュリティ対応状況を見える化し、脅威に迅速に対応できるような環境を整え、経営の強みにしていくような考え方全般を指した言葉だという。
例えば、昨年11月に公表された「サイバーセキュリティ経営ガイドライン」の2.0では、「攻撃の検知」を含めたリスク対応体制や、「サイバー攻撃を受けた場合の復旧の備え」として重要10項目が加えられるなど、よりセキュリティと経営が不可分になっていくなかでの具体策を提示している。
 |
|
NRIセキュアテクノロジーズ GRCプラットフォーム室 室長 足立道拡氏 |
「サイバーセキュリティは経営課題です。攻守の技術は絶え間なく進化していて、対策のトレンドも大きく変わる。その流れ、動きに対する柔軟性が求められています。また、セキュリティ人材の価値は依然として高く、その価値を認識し、維持/育成するための投資が重要になってきています」(足立氏)
NRIがグローバル5カ国(日本、米国、英国、シンガポール、オーストラリア)で行った調査「NRI Secure Insight 2018」でも、それらを裏付けるような興味深いデータが得られたという。
同調査は、セキュリティ経営の実態を「CISOを設置し経営層が就任しているか」「中長期的なセキュリティ計画を策定しているか」「自社の対策状況を定期的に評価しているか」「リソース(人材・予算)は充足しているか」という4つの観点から調査したものだ。
調査の結果まずわかったのは、日本は海外4カ国に比べ、CISOを設置し、経営層が就任している割合が低いことだ。他国が軒並み70%を超えるのに対して、日本は35.5%に留まる。
また、日本企業は中長期計画の策定割合が低く、事後対応がそのまま対策につながりやすいことがわかった。「セキュリティ対策の計画を策定していない」という回答は、他国が10%以下なのに対し、日本は28.9%。中長期の計画を立てている割合も、5カ国のなかで最も低い25.2%だった。
定期的な対策状況評価/把握についても、英国の87.3%、米国の78.4%など定期的評価を高い確率で実施しているのに対して、日本は41.1%と5カ国で最低だった。また、リソースが充足しているかどうかの調査でも、IT関連予算に占めるセキュリティ関連予算の割合は10%未満という回答が最も多い結果となった。他の4カ国が10~15%、15~30%が中心であるのと比べると、セキュリティがいかに軽視されているかがわかる。
「セキュリティ経営に改善の余地がある日本企業は多いという状況です。セキュリティ経営を推進するには、経営層のリーダーシップが欠かせません。業務の見直しによって、人材不足を解消することが求められます。例えば、海外企業は、業務の標準化や自動化、省力化に積極的に取り組んでいます」(足立氏)
