IPA(情報処理推進機構)は5月10日、調査報告書「企業のCISOやCSIRTに関する実態調査 2016」を公開し、その概要について記者説明会を開催した。
 |
同調査は、文献調査、アンケート調査、ヒアリング調査により、日本および海外の企業経営者の情報セキュリティに対する認識や姿勢、組織的な対策への取り組み状況を明らかにするもの。実情を示し、海外と比較することで、日本企業の情報セキュリティに対する取り組みレベルの向上に貢献することを目的としている。
具体的な実施内容として、まず公開レポートなどを中心に企業経営者の情報セキュリティに対する認識や姿勢、組織体制・対策に関する最新動向、個別企業の事例を調査したうえで日本シーサート協議会(NCA:Nippon CSIRT Association)の会員企業にアンケート調査を実施。その結果を元に調査票を設計し、日米欧の企業を対象にWebアンケート調査を行い、最後にCISO・CSIRT設置企業に対するヒアリング調査を行っている。
日米欧の企業向けアンケート調査は、従業員数300人以上の企業のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)、情報システム/セキュリティ担当部門の責任者および担当者を対象に2015年11月中旬から12月下旬にかけて実施され、日本588件、米国598件、欧州540件(英:195件、独:205件、仏:140件)の有効回答が得られたという。
明確な責任者の設置が情報セキュリティ対策推進の”鍵”
説明会では、調査で判明したデータを元に、主なトピックについて解説が行われた。それによれば、CISOを任命していない場合と、CISOが経営層(経営または業務執行に責任を持つ層)に含まれるかたちで任命されている場合で、情報セキュリティ対策推進の状況に約2倍の差があることが判明したという。この傾向に、日米欧の差は見られない。
 |
|
経営層の情報セキュリティに対する認識(CISO 等設置状況別)/出典:IPA『企業のCISOやCSIRTに関する実態調査 2016』 |
IPA 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリー 主任研究員の島田毅氏は「CISOが経営層として任命されている、つまり責任者が明確になっていると情報セキュリティ対策の実施率が高まるのが明らかに見て取れます」と語る。
 |
|
IPA 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリー 主任研究員の島田毅氏 |
また、CSIRTおよび同等組織の設置状況に関しても日米欧で顕著な差はなかったが、その満足度については大きな違いが見られた。設置したCSIRTが「期待したレベルを満たしている」と回答した割合は、米国が45.3%、欧州が48.8%であるのに対し、日本は14%と欧米の3分の1に満たない結果となったのだ。
その一因を示すデータとして、CSIRTの有効性を左右する要素として特に重要なものを問う項目に対し、日本は「能力・スキルのある人員の確保」を挙げる回答が欧米と比べて2割程度多かったという結果が示された。
さらに別のデータでは、「情報セキュリティ業務担当者の質的充足度」に対し、「十分である」と回答した割合が欧米では過半数を超えるのに対し、日本では4分の1という結果になっている。加えて、「大幅に不足している」と回答した割合も、日本は米国の約3倍、欧州の約5倍を占めた。
 |
|
情報セキュリティ業務担当者の質的充足度/出典:IPA『企業のCISOやCSIRTに関する実態調査 2016』 |
「これらの結果から、日本はCSIRTを設置したものの、人材のスキル不足を実感しており、現状に満足していないことがわかります。ただし、CSIRTや情報セキュリティ担当者の質に対する充足度が欧米に比べて低いのは、裏を返せば日本の期待レベルが高く、要求が厳しいとも言えるでしょう」(島田氏)
ただし、充足度を回答者の属性別に見ると、CISOは人材は充足していると認識しており、現場の責任者/担当者は不足しているととらえていることがわかる。これは日米欧のいずれでも見られる傾向だが、日本では特に顕著だ。調査報告書では、「CISOと現場レベルの認識の差を埋めつつ、セキュリティ人材を確保・育成していくことが今後の課題になる」と考察されている。
情報セキュリティに対する企業の姿勢
経営層のセキュリティへの認識を表すデータとして提示されたのが、「情報セキュリティポリシーや情報セキュリティ上のリスクについて、対外的に公表しているかどうか」を調査した結果だ。情報セキュリティポリシー・情報セキュリティ上のリスクのいずれも公表している、または片方のみ公表していると回答した割合は、日本が75.6%、米国が63.3%、欧州が63.2%と、日本が最も積極的に開示の意向を示す。
「開示しない理由」として、欧米では「自社のセキュリティリスクや情報を開示したくない」と回答する割合が米国で46.2%、欧州で50.0%を占める。対して日本では、18.8%と2割に満たない。
 |
|
情報開示を実施しない理由/出典:IPA『企業のCISOやCSIRTに関する実態調査 2016』 |
「欧米では、こうした情報の開示が攻撃者にとって有利な情報になりうることを十分に考慮したうえで、開示の是非を判断していると考えられます」と島田氏は説明する。情報開示が裏目に出る可能性も踏まえ、各企業は誰にどの程度の情報を開示するかを十分に議論する必要があるだろう。
また、直近の会計年度において、「サイバー攻撃が発生していない」と回答した企業は、日米欧ともに50%を超えた。これはあくまでも、回答企業が「発生していない」と認識しているだけで、実際のところはわからない。
さらに、設置しているCSIRTでサイバー攻撃による被害発生時に備えた訓練・演習機能を有しているのは、日米欧ともに3割程度に過ぎない。こうした実情に対し、島田氏は「サイバー攻撃に直面することに備え、訓練・演習を実施して、インシデント対応においてCSIRTが機能するかどうかを確認するとともに、課題を把握しておくことが望まれます」と見解を示した。
