独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは5月10日、「企業のCISOやCSIRTに関する実態調査2016」報告書を公開した。最高情報セキュリティ責任者(CISO)または同等の責任者が経営層にいる企業では、情報セキュリティ対策の実施率は高くなるという結果が出た。この傾向に日本、米国、欧州での差異は特にないという。
(IPA提供)
CSIRTおよび同等組織の設置状況に日・米・欧の差はあまり見られないが、CSIRTが「期待したレベルを満たしている」と回答した割合は米国45.3%、欧州48.8%に対し日本は14%と、欧米の3分の1と大きく差が開く結果となった。日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低いことが分かる。
CSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合は日本が73.3%と最多で、米国56.8%や欧州54.2%と比べ2割程度多い。また、情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下だった。
IPAは、日本では現状に満足していない企業が多く、CSIRTなどへの期待レベルの向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことがうかがえる指摘した。
サイバー攻撃発生経験直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上、つまり日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数となっている。また、設置されているCSIRTなどインシデント対応組織で訓練や演習を実施していると回答したのは日本33.4%、米国39.3%、欧州34.7%と、日米欧とも6割以上が実施していないことが分かった。
IPAでは、新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが機能するか確認し、課題を把握しておくことが望まれるとしている。
「情報セキュリティポリシー」「セキュリティリスク」の公表意向
「情報セキュリティポリシー」や「セキュリティリスク」の公表意向は、日本に比べ欧米は公表の意向が10ポイント以上少なく、日本と欧米との差が開いた。欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、開示しないと判断していると考えられるという。
開示しない理由として、欧米は「自社のセキュリティやリスクの情報を開示したくない」と回答する割合が約半数(米国46.2%、欧州50.0%)であるのに対し、日本は18.8%であった。
調査は、まず調査設計のため文献を調査し日本シーサート協議会会員向けに書面アンケート調査を実施。その結果を元に日本、米国、欧州の従業員300人以上の企業向けにウェブアンケートを実施し、さらにセキュリティ対策チーム(Computer Security Incident Response Team:CSIRT)やCISOを設置している企業を対象としてヒアリングを行った。ウェブアンケートではCISO、情報システム/セキュリティ担当部門の責任者及び担当者が対象で、得られた回答数は日本588件、米国598件、欧州540件(英195件、独205件、仏140件)。
