調査

セキュリティ責任者に求めるのはビジネス感覚よりも専門性--IPA調べ - (page 2)

國谷武史 (編集部) 2017年04月13日 14時58分

  • このエントリーをはてなブックマークに追加

日本のCISOは現場意識とかい離?

 セキュリティ要員の量的(人材数)の充足度については、米国と欧州ではCISOや部門責任者・担当者とも7割以上が「十分である」と回答した。一方、日本ではCISOの58.7%が「十分である」としたものの、部門責任者・担当者では40.5%にとどまり、CISOと現場の意識にかい離がみられた。


情報セキュリティ担当者の量的な充足度(出典:IPA)

IPA 情報セキュリティ分析ラボラトリー主任研究員の島田毅氏

 この点について情報セキュリティ分析ラボラトリーの島田毅氏は、「CISOが専任もしくは兼任であることが影響している」と考察する。セキュリティインシデントの被害金額を想定している日本企業は、CISOが専任の場合では84.8%だが、兼任では55.3%だった。セキュリティも対象にしたリスク分析の実施状況も、専任の場合では86.7%だったのに対し、兼任では57.3%にとどまった。

 島田氏は、「兼任型のCISOが多い日本企業は対策への取り組みの実施率が低い。CISOとして現場の活動内容や業務量の把握に努めるべきだが、兼任では難しい実態があるようだ」と話す。兼任しているCISO以外の役職としては、情報システムや財務部門の責任者(CIOやCFO)などの回答者が多いという。

 またCSIRTもしくはインシデント対応の担当組織の設置率は、日本では66.8%、米国では91.1%、欧州では78.0%だった。日本はほぼ横ばいだが、米国では約20ポイント増加した。米国では大統領選挙に関連したサイバースパイなどの報道が話題になるなどの影響から、企業での組織的な対応強化が図られたと推測している。

 設置したCSIRTの有効性については、「期待したレベルを満たしている」との回答が日本では18.4%、米国では60.8%、欧州では45.4%だった。


CSIRTの評価(出典:IPA)

 CSIRTの有効性を左右するポイントでは、3地域とも「能力・スキルのある人材の確保」が最も高く挙げられ、特に日本は米国や欧州よりも高い。一方、日本が低く、米国や欧州で高い割合を示したポイントは「十分な活動実績」「社内の既存部門との連携」「外部関係機関との連携」「CSIRTコミュニティーにおける積極的な情報提供」だった。セキュリティ担当者の質的な充足度では、「十分である」との回答が日本企業では28.1%だった一方、米国では56.1%、欧州では64.0%と高い。


CSIRTの有効性を左右すると考えられるポイント(出典:IPA)

 こうしたことから、日本ではセキュリティ担当者のスキルや能力を重視し、米国や欧州では組織としての活動を重視する傾向がみて取れる。ただしセキュリティ担当者に不足しているスキルでは、3地域とも「インシデント対応スキル」や「インシデント情報収集・分析スキル」「社内・社外との調整スキル」「リスク分析」が多数挙げられた。


情報セキュリティ担当者に不足しているスキル(出典:IPA)

 これらに加えて日本では、「セキュリティに関連する法律や規制などの知識」「セキュリティ技術に関する知識」を挙げる回答者の割合が他の2地域よりも高く、日本企業はセキュリティ担当者に非常に幅広いスキルを要求している実態がうかがえる。

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化