CISO等がいる組織でも事業リスク評価が未実施である割合は53.4%-IPA

近年、企業経営においては、ITを積極活用した「攻めの経営」と、情報資産やシステムを保護する「守りの経営」とを高いレベルで両立することが求められている。この実現のためには、経営方針に基づき、セキュリティに関して企業内の調整や実務者層をリードできる人材(CISO等)及び同方針に基づいたセキュリティ対策の実践が必要であると考えられる。IPA(独立行政法人情報処理推進機構)は、経営層を支えるCISO等の対策実践力を強化支援し、組織のセキュリティ対策レベルの向上に資することを目的に、CISO等の役割および国内のサイバーセキュリティ対策の取組み状況を把握するための調査を行い、その結果を公開した。

公開された「企業のCISO等やセキュリティ対策推進に関する実態調査」は、2019年10月1日~21日にかけて従業員301人以上で、CISOを任命している国内企業を対象にアンケート調査を実施し、結果を取りまとめたものである。有効回答数は534件。
CISO等に求められる役割や組織の対策の実施状況などを調査したものであり、中でも注目すべき3つのポイントがあった。

  1. CISOに求める役割
    「経営層との橋渡し」が最も多く(45.5%)、以下、「セキュリティ対策の推進(45.3%)」「セキュリティ目標・計画・予算の策定・評価(29.2%)」が続く。また、今後についてはこれらの役割に加え、「セキュリティ人材の育成・確保(31.8%)」が特に重要視されている。
    図1:重視しているCISO等の役割

  2. セキュリティ対策を推進する上での課題認識
    課題としては「リスクの見える化が困難/不十分(45.7%)」が最多に。準備不足、専門知識不足、人材不足に起因する回答が続くが、「経営層のリスク感度が低い(9.7%)」、「経営層にITやセキュリティの重要性を理解してもらえない(9.4%)」という回答は興味深い。
    経営層のセキュリティに対する全般的なリスク認識は高まっていると思われるが、まだまだ理解されていない実情もうかがえる。
    図2:課題認識

  3. リスク分析結果の事業リスク評価への活用
    CISO等設置済の組織においても、セキュリティに関する事業リスク評価が未実施である割合は53.4%。そのうち、リスク分析を行っていない組織の割合は21.0%。

    図3:セキュリティリスクの事業リスク評価への活用さらに、ITが事業に必要不可欠であり、且つCISO等がいる組織においても、セキュリティリスクの分析を行っていない(16.5%)、またはリスク分析を行っていてもその結果を事業リスク評価に役立てていない割合は30.7%であり、事業リスク評価につなげられていない組織が半数近く存在することがわかる。


    図4:IT依存度の高い組織に絞ったリスク分析結果の事業リスク評価への活用

セキュリティ対策にはリスク分析は必須であるが、今回の調査結果から、そのリスク分析の実施に何らかの難しさがあることが推察されるとIPAでは分析している。更に仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになった。

事業リスク評価へ役立てられていない理由にはCISOとしての活動を可視化することが難しいのではないかと考えられる。
IPAでは「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」も公開している。これは、39の設問に回答することで、実践状況のレーダーチャートが生成されるチェックシートになる。
また、ワークシートが複数あり、グループ企業、サプライチェーン、部門間などでの比較も可能としている。
この可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取組み方針に関する経営層への説明等に活用されることを想定して作られており、一度目を通しておくべきであろう。


実態調査報告書: https://www.ipa.go.jp/security/fy2019/reports/2019DL_index.html
可視化ツールβ版: https://www.ipa.go.jp/security/economics/checktool/index.htm

本レポートは、IPA様のプレスリリースを元に作成しております。
ソース:https://www.ipa.go.jp/about/press/20200325.html

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る