「CISOがいてもセキュリティリスクを評価していない企業が目立つ」 IPAが調査:実施していない企業の割合は53.4%
IPAは、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。セキュリティリスクを分析していても、それを事業のリスク評価に役立てていないという実態が明らかになった。
独立行政法人 情報処理推進機構(IPA)は2020年3月25日、「企業のCISO等やセキュリティ対策推進に関する実態調査」の結果を発表した。同調査の対象は、従業員数が301人以上のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)などを任命している国内企業。CISOに求められる役割や企業のセキュリティ対策の実施状況などを調べた。
同調査結果によると、CISOを置いている企業であっても、自社の事業に対するセキュリティリスクを評価していない企業が目立った。具体的には、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は41.1%にすぎず、事業リスクの評価を実施していない企業の割合は53.4%を占めた。リスクを分析していない企業の割合も21.0%あった。
「リスクの見える化が困難」という課題も
ITへの依存度が高い企業を抜き出してみると、リスクを分析し結果を経営層の事業リスク評価に役立てている企業の割合は50.3%で、全体よりも割合はやや高い。だが、セキュリティリスクを分析していても、その結果を事業リスクの評価に役立てていない割合は30.7%に及び、全体の32.4%と比べて減少幅が小さい。
一方、「CISOが課題と考えていること」という設問については「リスクの見える化が困難/不十分」との回答割合が最も高く、45.7%(複数回答、以下同)を占めた。次いで、「インシデント発生に備えた準備が不十分」が34.6%、「担当者の専門知識不足」が30.0%、「経営とセキュリティの両方を理解している人材がいない」が25.1%、「予算が不足している」が24.9%だった。
今回の調査結果を受けてIPAは「セキュリティ対策にはリスク分析が必要だが、そのリスク分析の実施に何らかの難しさがあるようだ」と分析している。
なおIPAは、CISOの課題として多く挙がった、セキュリティの可視化ツール「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を公開した。これは、39の設問に回答することで、セキュリティの実践状況をレーダーチャートで表示できるチェックシート。IPAは「グループ企業やサプライチェーン、部門間などでの比較もできる」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
一にも二にも「防御」を――元CIAのCISOが提言した6つのセキュリティ対策
CIAのCISOを務め、今はコンサルタントとして活躍するロバート・ビッグマン氏が、@ITセキュリティセミナー、東京会場の基調講演に登場し、基本的かつ実践的な対策をアドバイスした。
CIOの役割変化は、CISOの役割も変わることを意味する
最高情報セキュリティ責任者はCIOをサポートし、デジタルビジネスにおける新たな機会を捉える必要がある。では、具体的にはどのように行動すればいいのだろうか。
CISO考――ところで、CISOって必要ですか?
CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)