日本企業は「ISMS」に偏り過ぎ？――PwCが「グローバル情報セキュリティ調査 2016」を発表：インシデント対応を視野に入れた複数フレームワーク活用を

プライスウォーターハウスクーパース（PwC）は2015年11月9日、米国のIT調査会社IDGと共同で実施した「グローバル情報セキュリティ調査 2016（日本版）」の調査結果を発表した。

[田尻浩規，＠IT]

　プライスウォーターハウスクーパース（PwC）は2015年11月9日、同社と米国のIT調査会社International Data Group（IDG）が共同で実施した「グローバル情報セキュリティ調査 2016（日本版）」の結果を発表した。

　本調査は、PwCおよびIDGが、CIO（最高情報責任者）やCSO（最高セキュリティ責任者）など127カ国1万人以上の経営層を対象に、2015年5月7日から2015年6月12日にかけて実施したオンライン調査。日本企業からは286人分の回答が得られた。その結果、全体の調査結果と国内企業の経営層の回答を比較したところ、以下のような傾向が見られたという。

ISMSへの偏重が顕著

　全体では、自組織が採用しているセキュリティフレームワークとして「ISMS（ISO27001）」（以下、ISMS）に加え、米国国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク」やSANSの「クリティカルコントロール」、Information Security Forum（ISF）の「グッドプラクティス標準」など、複数フレームワークが幅広く利用されている実態が明らかになった。一方、日本企業ではISMSの利用が最も多く、本調査の対象となった他のフレームワークとは大きな差が見られた。

　この結果についてPwCでは、「日本では『平時』のセキュリティマネジメントに主眼が置かれがちになっている」と分析した上で、「インシデントレスポンスを重視した複数フレームワークの併用」を推奨している。

企業間での情報共有体制が未整備

　脅威や脆弱（ぜいじゃく）性に関する情報共有については、外部との情報共有を行っている日本企業の割合は約30％にとどまり、約65％だったグローバルの半分以下の割合だった。情報共有を行っていないと回答した経営層の約4割はその理由として、「情報共有の枠組みの整備、標準化ができていない」ことを挙げた。

　日本国内では2014年8月に「金融ISAC（Information Sharing and Analysis Center）」が発足するなど、各業界での情報共有に向けた取り組みが進められているが、PwCは業界横断的なプラットフォームや情報共有のための標準的な枠組みの構築を引き続き促進していくことを推奨している。また、企業間のみならず企業内においても情報共有体制の整備が重要であるという。

Threat Intelligence（脅威情報）利用に一定の効果

　また同調査では、さまざまなセキュリティ対策のうち、脅威に関する情報を定期的に購読する有償／無償の「脅威情報サブスクリプション」のようなサービスが、セキュリティインシデントによる業務停止時間を短くするのに最も効果的だったとしている。一方、SIEM（ログ相関分析システム）などのツール導入の効果は比較的小さかったという。

　本発表のベースとなった調査資料本体は記事下の関連リンクより参照ができる。リンク先画面右下の「Explore the data」からは、業種や地域、企業規模でフィルタリングを行いながら、各設問に対する回答結果を動的にグラフ出力することも可能になっている。

「Explore the data」から作成したグラフイメージ