政策と産業の最新動向を伝え、解説する“クオリティペイパー”


充足度不足が厳しい日本
日米欧比較 情報セキュリティ対策に対する経営者調査

 IPA(独立行政法人情報処理推進機構、富田達夫理事長)は「企業のCISO(最高情報セキュリティ責任者)やCSIRT(セキュリティ・インシデント対策チーム」に関する実態調査2016」を10日、公開した。

昨年12月に経済産業省とIPAが共同で策定した、“サイバーセキュリティ経営ガイドライン”では、組織の情報セキュリティ対策の推進には経営層の主体的な関与が必要と指摘している。このため、IPAでは企業経営者の情報セキュリティに対する関与、組織的な対策状況について、日・米・欧の従業員300人以上の企業を対象に比較調査を実施した。
主なトピックスによると、第1にCSIRTは設置したが、日本は人材の能力・スキル不足を実感しており、現状に満足していないことがわかった。CSIRTが“期待したレベルを満たしている”と回答した割合は米国45.3%、欧州48.8%に対し日本は14%となり、欧米の3分の1と大きく差が開く結果となった。
また、CSIRT等の有効性を左右する最大の要素として“能力・スキルのある人員の確保”と回答した割合は日本が73.3%と最多で、米国や欧州と比べ2割程度多かった。さらに、情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国や欧州の半分以下であった。
「日本は情報セキュリティ担当者の質的充足度が欧米に比べ低く、能力・スキルのある人員の確保が特に重視されており、要求が厳しいことが伺える」(IPA)。
第2に、CISOが経営層として任命されていると、情報セキュリティ対策の実施率は高くなる傾向に日・米・欧の差異はなかった。
第3に、日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数。また、訓練・演習実施の機能が無いと回答したCSIRTは6割以上あった。
直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上あり、CSIRT等インシデント対応組織で訓練・演習を実施していると回答したのは日本33.4%、米国39.3%、欧州34.7%と日米欧とも6割以上が実施していなかった。
第4に、日本と欧米とで異なる“情報セキュリティポリシー”“セキュリティリスク”の公表意向があった。日本に比べ欧米は公表の意向が10ポイント以上少ない。開示しない理由として、欧米は“自社のセキュリティやリスクの情報を開示したくない”と回答する割合が約半数あるのに対し、日本は18.8%であった。
「欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、判断していると考えられる」(IPA)。
IPAでは、新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが機能するか確認し、課題を把握しておくことが望ましい、としている。

表1.CISOの任命と情報セキュリティ対策推進状況の関係

表1.CISOの任命と情報セキュリティ対策推進状況の関係

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">