情報処理推進機構(IPA)セキュリティセンターは2017年4月13日、日米欧を対象にした「企業のCISOやCSIRTに関する実態調査2017」のアンケート結果を発表した。日本におけるCISO(最高情報セキュリティ責任者)の設置率は欧米より20ポイント低く、専任者の割合は半分以下という。
今回の調査は、昨年に続き2回目。日米欧の従業員数300人以上でセキュリティ担当を置く企業を対象にWebアンケートを実施し、2016年10月上旬からの1カ月で日本755件、米国527件、欧州526件(英192件、独182件、仏152件)の有効回答を得た。2015年12月に経済産業省とIPAが共同策定した「サイバーセキュリティ経営ガイドライン」における3原則の1つである、経営層のリスク認識と主体性の獲得を促進する取り組みの一環だ。
日米欧の比較で特に差が付いたのは、CISOおよびCISO相当の有無を聞いた設問。専任者がいる企業は、日本の27.9%に対して米国が78.7%、欧州が67.1%と、日本は半分以下の設置率となった。兼務者を含めても、日本の62.6%に対して米国が95.2%、欧州が84.6%と、20ポイントほど開きがある結果になった。
アンケート結果を分析したIPAセキュリティセンター分析ラボラトリーの島田毅・主任研究員は、「専任のCISOがいない企業では、セキュリティ人員の充足度について経営と現場の間に認識のズレがある」と指摘する。別の設問の「セキュリティ要員の充足度」の回答結果によると、日本のCISOの58.7%がセキュリティ要員は「十分」だと考えているのに対し、部門の責任者・担当者は40.5%とかい離があるという。欧米では「十分」と答える割合はCISO、部門担当者とも75%前後でほぼ一致している。島田主任研究員は「専任か兼任かは本質な問題ではないが、兼任ではセキュリティ対策の実施率も全体的に低い傾向にある。責任者はセキュリティ業務に十分な時間を割き、組織の活動内容や業務量の把握に努めるべきだろう」と警告した。
CSIRT人員のスキル調査が課題
セキュリティ事故対応に当たるCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)およびCSIRT相当の組織の有無を聞いた設問では、日本の66.8%に対して米国が90.1%、欧州が78.0%と、CISOの設置率と同じ傾向となった。前回調査との比較では、米国で前回の69.7%から20ポイントほど伸びている。「データの裏付けはないが、オバマ政権のセキュリティに関する取り組みが影響したのではないか」という見解を示した。
CSIRTの有効性について聞いた設問では、CSIRT担当者の能力やスキルを聞いた「情報セキュリティ業務担当者の質的充足度」について、「十分」と答えた割合が日本の28.1%に対して米国が56.4%、欧州が64.0%と大差が付いた。「今回の日本の結果について、自らのスキルや能力を控えめに評価したためか、実際に低いからなのか、何らかの調査が必要」(島田氏)という。
