「CISOがいてもセキュリティリスクを評価していない企業が目立つ」 IPAが調査：実施していない企業の割合は53.4％

IPAは、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。セキュリティリスクを分析していても、それを事業のリスク評価に役立てていないという実態が明らかになった。

[＠IT]

　独立行政法人 情報処理推進機構（IPA）は2020年3月25日、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。同調査の対象は、従業員数が301人以上のCISO（Chief Information Security Officer：最高情報セキュリティ責任者）などを任命している国内企業。CISOに求められる役割や企業のセキュリティ対策の実施状況などを調べた。

　同調査結果によると、CISOを置いている企業であっても、自社の事業に対するセキュリティリスクを評価していない企業が目立った。具体的には、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は41.1％にすぎず、事業リスクの評価を実施していない企業の割合は53.4％を占めた。リスクを分析していない企業の割合も21.0％あった。

セキュリティに関する事業リスク評価（出典：IPA）

「リスクの見える化が困難」という課題も

　ITへの依存度が高い企業を抜き出してみると、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は50.3％で、全体よりも割合はやや高い。だが、セキュリティリスクを分析していても、その結果を事業リスクの評価に役立てていない割合は30.7％に及び、全体の32.4％と比べて減少幅が小さい。

　一方、「CISOが課題と考えていること」という設問については「リスクの見える化が困難／不十分」との回答割合が最も高く、45.7％（複数回答、以下同）を占めた。次いで、「インシデント発生に備えた準備が不十分」が34.6％、「担当者の専門知識不足」が30.0％、「経営とセキュリティの両方を理解している人材がいない」が25.1％、「予算が不足している」が24.9％だった。

CISOが考える課題（出典：IPA）

　今回の調査結果を受けてIPAは「セキュリティ対策にはリスク分析が必要だが、そのリスク分析の実施に何らかの難しさがあるようだ」と分析している。

　なおIPAは、CISOの課題として多く挙がった、セキュリティの可視化ツール「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を公開した。これは、39の設問に回答することで、セキュリティの実践状況をレーダーチャートで表示できるチェックシート。IPAは「グループ企業やサプライチェーン、部門間などでの比較もできる」としている。