「CISOがいてもセキュリティリスクを評価していない企業が目立つ」 IPAが調査実施していない企業の割合は53.4%

IPAは、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。セキュリティリスクを分析していても、それを事業のリスク評価に役立てていないという実態が明らかになった。

» 2020年03月26日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 独立行政法人 情報処理推進機構(IPA)は2020年3月25日、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。同調査の対象は、従業員数が301人以上のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)などを任命している国内企業。CISOに求められる役割や企業のセキュリティ対策の実施状況などを調べた。

 同調査結果によると、CISOを置いている企業であっても、自社の事業に対するセキュリティリスクを評価していない企業が目立った。具体的には、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は41.1%にすぎず、事業リスクの評価を実施していない企業の割合は53.4%を占めた。リスクを分析していない企業の割合も21.0%あった。

画像 セキュリティに関する事業リスク評価(出典:IPA

「リスクの見える化が困難」という課題も

 ITへの依存度が高い企業を抜き出してみると、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は50.3%で、全体よりも割合はやや高い。だが、セキュリティリスクを分析していても、その結果を事業リスクの評価に役立てていない割合は30.7%に及び、全体の32.4%と比べて減少幅が小さい。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。