セキュリティ人材不足、日本は「過去10年間改善が見られない」 NRIセキュアテクノロジーズ：人材不足は日本だけ？

NRIセキュアテクノロジーズは、日本、米国、オーストラリアの3カ国で実施した「企業における情報セキュリティ実態調査2022」の結果を発表した。それによるとCISOを設置している企業の割合は、米国の96.2％、オーストラリアの96.0％に対して日本は39.4％と大幅に低かった。

[＠IT]

　NRIセキュアテクノロジーズは2022年12月13日、日本、米国、オーストラリアの3カ国で実施した「企業における情報セキュリティ実態調査2022」の結果を発表した。それによると、CISO（最高情報セキュリティ責任者）を設置している企業の割合は、日本では約4割で、新規セキュリティ予算は増加傾向にあった。

CISOを設置している企業の割合（提供：NRIセキュアテクノロジーズ）

　NRIセキュアテクノロジーズは「経営とセキュリティ担当者をつなぎ、有効な対策の立案から実践に至るまでの責任を負うCISOは、セキュリティ対策の整備が十分に進んでいる企業で重要な役割を果たす」と指摘している。調査結果によるとCISOを設置している企業の割合は、米国の96.2％、オーストラリアの96.0％に対して日本は39.4％と大幅に低かった。従業員規模別でも日本では、CISOを設置している企業の割合は従業員が1万人以上の企業で65.3％にとどまっていた。

米国、オーストラリアで人材不足に悩む企業は1割程度

　セキュリティ人材（情報セキュリティの管理や社内システムのセキュリティ対策に従事する人）の充足状況を見ると「不足している」と回答した企業の割合は、米国が9.7％、オーストラリアが10.8％。一方で日本は89.8％だった。2012年に実施した同様の調査では84.4％となっており、「過去10年間改善が見られない」とNRIセキュアテクノロジーズは指摘。特に、「セキュリティ戦略・企画を策定する人」（50.9％、複数回答）や「セキュリティリスクを評価・監査する人」（38.0％）の不足を訴える声が大きかった。

セキュリティ人材の充足状況（提供：NRIセキュアテクノロジーズ）

　こうした結果を踏まえてNRIセキュアテクノロジーズは「日本ではセキュリティ担当者が自社のセキュリティ戦略立案からリスク評価やインシデント対応まで、さまざまな業務をこなしている企業が多いと考えられる。長年続く人材不足の問題を本質的に解決するには、CISOを中心に経営層が一体となって人材と技術のバランスの取れたセキュリティ業務の推進体制を早急に整備すべきだ」と注意を促している。

　ただ、改善された点もある。新規のセキュリティ対策に投資する予算については2021年よりも「増加」と回答した企業の割合が高くなった。この傾向は、コーポレートITとビジネスITのどちらの用途にも見られた。企業規模別に見ると、従業員規模が大きい企業ほど「増加」と回答した割合が高かった。

　この理由について同社は「2022年2月以降の国際情勢を踏まえたサイバー攻撃による脅威の高まりや、頻発するセキュリティ事故、DX（デジタルトランスフォーメーション）の推進やIT活用に伴う攻撃対象領域拡大への対策が迫られたため」と分析している。