CISO・CSIRTに対する満足度はいかに? IPAが日米欧の実態を調査

[2017/04/17 11:50] ブックマーク ブックマーク

日本のCSIRTに足りないモノは? - 期待される経営層の関与

一方、CSIRTの有効性に対する満足度を調査した結果、回答した日本企業のうち「期待しているレベルに達している」としたのは18.4%と欧米を大きく下回った。これは、日本ではCSIRTの有効性を左右する要素として「能力・スキルのある人員の確保」が最重要視されているにもかかわらず、セキュリティ人材の確保が難しいことが影響していると考えられる。

CSIRTの有効性に対する満足度

CSIRTの有効性を左右する要素

では、セキュリティ要員にはどのようなスキルが不足していると考えられているのだろうか。セキュリティ担当者の質的充足度が「やや不足」「大幅に不足」とした回答者に、どんなスキルが不足しているか確認したところ、インシデント関連スキルが最も多く挙げられた。

「日本のCISOと現場の認識を確認したところ、インシデント関連スキルはいずれの立場においても不足していると感じていることがわかりました。一方、セキュリティ技術に関する知識量については、CISOはそんなに不足しているとは思っていないが、現場は不足を感じているという結果が出ています。これは、厳しめに評価する日本特有の傾向かもしれません」(島田氏)

氏は「この後やるべきは、(スキルの不足は)控えめに自分たちを評価しているのか、本当にそうなのかを探っていくことではないかと思う」と語り、CSIRTについて「必ずしも全ての企業が設置する必要はないと思うが、ITへの依存を高める欧米が続々とそうした組織を設置しているのに対し、日本企業は何もしなくていいのかという部分はある」と所感を述べた。

2016年12月に改訂された「サイバーセキュリティ経営ガイドライン Ver 1.1」では、企業の経営層が情報セキュリティを経営戦略としてとらえ、主体的に取り組むことが肝要だとされている。だが、今回の調査では日本における経営層の情報セキュリティへの関与は、政府が指定する重要インフラ業種の事業者でも6割〜7割程度にとどまった。これは、それ以外の事業者を上回る値ではあるものの、「まだ改善の余地があり、特に社会インフラを担う企業においては経営層の一層の関与が期待される」(島田氏)という。

こうした課題解決の一貫として、IPAでは今年4月に発足する産業サイバーセキュリティセンター内に経営層向けカリキュラムを設けるほか、経営層をターゲットとしたシンポジウムを開催するなど、今後も引き続き積極的な働きかけをしていくとしている。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

学生・若手社員に読ませたい! MOTEXのセキュリティ本が大反響を呼んだワケ

学生・若手社員に読ませたい! MOTEXのセキュリティ本が大反響を呼んだワケ

エムオーテックス(MOTEX)が、セキュリティ意識の啓発のために制作した書籍「セキュリティ7つの習慣・20の事例」が話題を呼んでいる。ユニークなのは、その販売方法。同書籍には、紙版とPDF版の2種類が用意されているのだが、PDF版はダウンロードすれば全ての内容が無料で読めるのだ。こうした書籍を制作した狙いはどこにあるのか。本書の企画を担当したMOTEX 経営…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る