経営層にセキュリティ担当者がいる組織では対策も実施--IPA調査

NO BUDGET 2016年05月18日 07時00分

  • このエントリーをはてなブックマークに追加

 独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは5月10日、「企業のCISOやCSIRTに関する実態調査2016」報告書を公開した。最高情報セキュリティ責任者(CISO)または同等の責任者が経営層にいる企業では、情報セキュリティ対策の実施率は高くなるという結果が出た。この傾向に日本、米国、欧州での差異は特にないという。

(IPA提供)
(IPA提供)

 CSIRTおよび同等組織の設置状況に日・米・欧の差はあまり見られないが、CSIRTが「期待したレベルを満たしている」と回答した割合は米国45.3%、欧州48.8%に対し日本は14%と、欧米の3分の1と大きく差が開く結果となった。日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低いことが分かる。

 CSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合は日本が73.3%と最多で、米国56.8%や欧州54.2%と比べ2割程度多い。また、情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下だった。

 IPAは、日本では現状に満足していない企業が多く、CSIRTなどへの期待レベルの向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことがうかがえる指摘した。

サイバー攻撃発生経験

 直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上、つまり日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数となっている。また、設置されているCSIRTなどインシデント対応組織で訓練や演習を実施していると回答したのは日本33.4%、米国39.3%、欧州34.7%と、日米欧とも6割以上が実施していないことが分かった。

 IPAでは、新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが機能するか確認し、課題を把握しておくことが望まれるとしている。

「情報セキュリティポリシー」「セキュリティリスク」の公表意向

 「情報セキュリティポリシー」や「セキュリティリスク」の公表意向は、日本に比べ欧米は公表の意向が10ポイント以上少なく、日本と欧米との差が開いた。欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、開示しないと判断していると考えられるという。

 開示しない理由として、欧米は「自社のセキュリティやリスクの情報を開示したくない」と回答する割合が約半数(米国46.2%、欧州50.0%)であるのに対し、日本は18.8%であった。

 調査は、まず調査設計のため文献を調査し日本シーサート協議会会員向けに書面アンケート調査を実施。その結果を元に日本、米国、欧州の従業員300人以上の企業向けにウェブアンケートを実施し、さらにセキュリティ対策チーム(Computer Security Incident Response Team:CSIRT)やCISOを設置している企業を対象としてヒアリングを行った。ウェブアンケートではCISO、情報システム/セキュリティ担当部門の責任者及び担当者が対象で、得られた回答数は日本588件、米国598件、欧州540件(英195件、独205件、仏140件)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]