1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが「企業のCISOやCSIRTに関する実態調査2017」報告書を公開

IPAが「企業のCISOやCSIRTに関する実態調査2017」報告書を公開

20160929-img-thumb.png独立行政法人 情報処理推進機構(IPA)は、4月13日、「企業のCISOやCSIRTに関する実態調査2017」の結果を発表した。これは、2016年10月から11月にかけて、日・米・欧の従業員数300人以上の企業のCISO、情報システム、セキュリティ担当部門の責任者及び担当者を対象に行われた調査結果をまとめたもの。

これによると、現在、CISOに期待されている役割、スキルは、「セキュリティ技術分析・評価」が52.0%、「セキュリティ目標・計画・予算の策定・評価」が40.8%で続いている。「経営層とセキュリティ部門をつなぐ橋渡し」(17.9%)、「自社の事業目標とセキュリティ対策との整合」(14.3%)など、いわゆる経営層とセキュリティ部門をつなぐ橋渡しとしての役割は、まだ日本企業では認知が低いことがわかった。

また、CISOが任命されている組織の割合は、日本では6割程度(62.6%)で、米国(95.2%)や欧州(84.6%)と比べて20ポイント以上の差があることや、日本では多くのCISOが他の役職と兼任であり、専任CISOの多い欧米とは異なることがわかった。

日本ではCISOの58.7%が、セキュリティ要員は「十分」だと回答する一方で、セキュリティ部門の責任者・担当者で「十分」だと回答した割合は40.5%にとどまっており、CISOと現場とで、セキュリティ人員の量的な充足度にズレがあることが分かる。欧米では、役職に関係なく「十分だ」との回答が7割程度で、人員の量的充足度の認識にほとんど差がない。

この点について、IPAは、日本のCISOは兼務が多く、セキュリティ部門の活動内容や業務量の把握が難しい状況にあると指摘した。

そして、CSIRTについては、「設置したCSIRTが期待を満たしている」と答えた割合は、日本が18.4%であるのに対し、米国(60.8%)、欧州(45.4%)という結果だった。日本企業でCSIRTの有効性に対する満足度が低いことについて、IPAは、セキュリティ人材の確保の難しさやスキル不足があると言及している。

「企業のCISOやCSIRTに関する実態調査2017」報告書について(IPA)
ニュース - 「専念できないセキュリティ担当、現場と認識にズレ」(ITpro)


日立ソリューションズのセキュリティソリューション

トータルセキュリティソリューション

トータルセキュリティソリューション

確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできる様々なセキュリティニーズに対応したソリューションをご提供します。

詳しく見る

関連キーワード:

CISO

CSIRT

IPA

  • ビジネスメール詐欺(BEC詐欺)とは
  • カテゴリートップへ
  • マカフィーが「McAfee Labs脅威レポート: 2017年4月」を発表