情報処理推進機構(IPA)は4月13日、「企業のCISOやCSIRTに関する実態調査 2017」を同日公開したと発表した。同調査は、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況について「文献調査」「アンケート調査」を行ったもの。昨年5月に公開された「企業のCISOやCSIRTに関する実態調査 2016」の後継にあたる。

記者説明会にはIPA セキュリティセンター 分析ラボラトリー 主任研究員 島田毅氏が登壇し、CISOの任命状況やCSIRTにおける課題などについて解説した。

専任・兼任の違いがCISOと現場のズレを生む!?

冒頭、島田氏は「今回の調査は、2回目ということもあり、経営者との橋渡し人材として期待されるCISOの役割やスキル、実態を深掘りすることをテーマに設定しています」と説明する。加えて、日本と米国、欧州の企業の状況を比較し、日本企業の情報セキュリティに対する取り組みレベルの向上にヒントを提供することが目的となる。

IPA セキュリティセンター 分析ラボラトリー 主任研究員 島田毅氏

2016年10月上旬から11月上旬にかけて行われた調査では、CISO・CSIRTの状況について、日・米・欧の従業員300人以上の企業のCISO本人、もしくはセキュリティ担当部署の責任者・担当者を対象にアンケート調査を実施し、その結果を比較。アンケート項目の設計にあたっては、事前に国内外の文献調査を行い、CISOの役割について整理したという。

調査ではまず、日本企業において現在重要視されているCISOの役割として「セキュリティ技術分析・評価」「セキュリティ目標・計画・予算の策定・評価」が上位に挙がった。本来、CISOには経営者との「橋渡し役」であることも求められるのだが、それ自体が企業にまだあまり認知されていないことが明らかになっている。

現在重要視されているCISOの役割

また、CISOに求められるスキルや経験について尋ねた設問では、コミュニケーションスキルやICTスキルが上位を占めた。

「ビジネス戦略上、十分なセキュリティ対策を取るためには『自社事業への理解』が必要ですが、その認識は低く、セキュリティ技術面を偏重している傾向にあります」(島田氏)

こうした現状にあるCISOだが、その任命状況はどうなのだろうか。日本では、今回回答のあった755社のうち、約6割が任命しているという結果が得られた。

「日本でCISOが置かれるようになって何年か経ちますが、欧米と比べるとその任命率には20ポイント以上の差があります。前回と比べても、日本は(任命率に)大きな変化はありませんでしたが、米国では非常に伸びていました。また、もう1つ欧米と日本で大きく違うのは、欧米に比べて専任のCISOが半分以下しかいないことです」(島田氏)

CISOなどの設置状況

この専任・兼任の違いが、CISOと現場の認識の差に現れた。欧米では、セキュリティ要員(人数)の量的従属度に関してCISOと現場の認識にズレはないが、日本ではCISOの半数以上が要員数は十分だと回答。一方で現場では不足感があるという回答が半数を超えたのだ。

島田氏は「CISOはセキュリティ業務に注力してセキュリティ部門の実態把握に努め、ギャップを解消することが必要です。セキュリティ要員の不足を放置していると、いざというときに十分なスピード感で対応できない懸念があります」と指摘。CISOが他の職種と兼任である場合のほうが、リスク分析やサイバー攻撃発生時の被害額推定など、セキュリティ対策に関する取り組みの実施率も全般的に低いことを示した。

ウイルス感染・サイバー攻撃発生時の被害額推定を実施した率(CISOの専任・兼任の別)

セキュリティを対象に入れたリスク分析を実施した率(CISOの専任・兼任の別)