アンケート結果に対する考察

日米欧のセキュリティ対策の取り組み状況について

本アンケート調査結果を日米欧で比較した結果、セキュリティ対策の取り組み状況で以下の特 徴がみられた。

(a)経営層の情報セキュリティに対する関与

経営層の情報セキュリティに対する関与については、日本は「会議等があり、情報セキュリテ ィに関する意思決定の場として機能している」と回答する割合が米欧と同等以上に高い。一方、

「経営層が、自社の情報セキュリティリスクや対策を審議する機会がない」と回答する割合は米 欧より高い。つまり、日本では、経営層が情報セキュリティに関して議論する場が整備されつつ あるが、依然として経営層が自社のセキュリティ対策に関与していない割合が米欧に比べて高い と考えられる。

(b)自社拠点・委託先のセキュリティ把握状況

自社拠点のセキュリティ対策の把握状況に関しては、日米欧共通して国内拠点は把握できてい るが、海外拠点は国内拠点に比べ十分把握できていない。これは、海外拠点では文化や言語、法 制度等が異なるためコントロールが難しいことが背景にあると考えられる。また、委託先のセキ ュリティ対策の把握状況に関しては、日米欧ともに確認は実施しているが、自社拠点に比べると 十分に確認はできていない。今回のアンケート調査では、二次三次の委託先の把握までは確認で きていないが、今後は自社の海外拠点・委託先のセキュリティ対策状況の把握を進めることが課 題になると考えられる。

(c)情報開示の実施状況

平時の情報開示（情報セキュリティポリシー、情報セキュリティ上のリスク）への取り組みは、

日本企業が積極的に進めており、ステークホルダーへの情報発信は広がっていると考えられる。

ただし、米欧では情報開示を実施しない理由として、「自社のセキュリティやリスクの情報を開示 したくない」をあげており、自社のセキュリティ情報等を開示することによるデメリットを考慮 し開示していないと考えられる。情報開示に関しては、開示によるメリット・デメリットを考慮 したうえで判断する必要があると考えられる。

(d)セキュリティ人材の充足度

情報セキュリティ業務を担当する人材の充足度は、日本は質量ともに「やや不足している」と 回答する割合が高く、米欧に比べセキュリティ人材が不足傾向にあると考えられる。人材の充足 度を回答者の属性別にみると、CISO等は日米欧ともに人材は充足していると認識している。一方、

現場の責任者/担当者は不足していると考えており、CISO 等と現場レベルでの認識に差があるこ とがわかる。現場との認識の差を埋めつつ、セキュリティ人材を確保・育成していくことが今後 の課題になると考えられる。

CISO等の重要性について

CISO等の設置状況で各種設問項目のクロス集計を実施した結果、CISO等を任命している企業 では各種対策の実施状況が高く、CISO等を任命していない企業では各種対策の実施状況が低いこ とがわかった。さらに、CISO等を任命している企業の中でも役員としてCISO等を任命している 企業では、経営層の情報セキュリティへの関与度合いや情報開示、リスク分析の実施状況が高い ことがわかった。つまり、情報セキュリティ対策に責任を担うCISO等の存在が、組織の対策推進 に影響力を有すると考えられる。

一方、経営層としてCISOが任命されていながら、「経営層が参加する情報セキュリティに関す る意思決定の場がない」「リスク分析が実施されていない」あるいは「サイバー攻撃が発生した場 合の被害額推定」が行われていない企業が、それぞれ10％～30％程度あることは、注目すべきと 思われる。

CSIRTについて

(a)NCA会員企業向けアンケート調査

NCA会員企業向けアンケート調査結果から見えるNCA会員企業のCSIRTの特徴の1つに、経

営層がCSIRTに対して積極的に関与している点が挙げられる。調査結果では、85.0％の回答企業

において、経営層・CISO 等が直接または間接的にCSIRT の指揮・監督を行う関係が構築されて いるほか、64.2％の回答企業において、経営層が何らかの形でCSIRTの活動の評価を行っており、

評価結果は実際にCSIRTの活動の改善に活かされている。CSIRTに求められる役割は企業の業務 内容や抱えるリスクによって異なるものであり、企業の経営環境の変化にも迅速かつ柔軟に対応 していく必要がある。CSIRT の活動を企業の経営方針に沿った形で有効に機能させていくために も、経営層が積極的に関与し、CSIRT活動のコントロールを行うことが重要と言える。

社内外の組織との連携を重視している点もNCA会員企業のCSIRTの特徴と言える。インシデ ント対応時には、情報システム部門、経営企画・リスク管理部門をはじめ、法務部門や広報・渉 外部門とも連携関係が構築されており、CSIRT を中心として、社内外の対応をカバーする全社的 な体制が構築されている。

また、今回の調査の回答企業は設置期間が短い組織が多かったにもかかわらず、活動する組織 の多くが①インシデント発生及び被害の予防、②インシデント発生時の拡大防止（局限化）、③イ ンシデントの経験・知見に基づく改善策のインシデント対応の事前・事中・事後の各フェーズに おける機能を備えている点も注目される。NCAでは、活動の一環として新規にCSIRTを構築する 組織の支援も行っていることから、こうしたサポートもNCA 会員企業のCSIRT機能の充実に寄 与していると考えられる。

CSIRT 機能の有効性に関しては、概ね高い評価となっているが、設置期間が短い組織が多く含

まれていることもあり、今後活動が本格化した段階での評価も注目される。

(b)本アンケート調査

本アンケート調査におけるCSIRTの設置割合は日米欧ともに20％程度であるが、CSIRT以外の インシデント対応組織も含めると7 割前後設置されており、企業においてインシデント対応機能 が普及しつつあると考えられる。一方で、インシデント対応の機能に関する有効性の評価は、

CSIRT以外のインシデント対応組織よりもCSIRTとして設置されている企業の方が高く、インシ

デント対応に特化した組織としてCSIRTを設置することに一定の効果があると考えられる。

また有効性に関しては、日本では米欧と比較すると評価が低い傾向がある。NCA会員企業向け アンケート調査及び本アンケート調査のいずれにおいても、CSIRT の機能の有効性に寄与する要 素として「能力・スキルのある人員の確保」が最も挙げられている。情報セキュリティ人材に求 められている能力・スキルと、現状の能力・スキルとの間にギャップがあり、そのことが日本で

のCSIRTに対する有効性の認識に影響している。今後CSIRTにおける人員の確保が重要な課題に

なると考えられる。

本アンケートの回答企業は、その50%超が、直近の会計年度でのサイバー攻撃の発生経験がな く、また設置されているインシデント対応組織の60％超には、訓練・演習の実施機能がない。近 年のサイバー攻撃に対処した実践経験もインシデント対応の訓練・演習も行っていないインシデ ント対応組織は、その実力は未知数であると推定される。サイバー攻撃に直面することに備えイ ンシデント対応訓練を行って、組織として上手く機能するかどうか、所期の役割を果たせるかど うか確認し、課題を把握し改善を図ることが望まれる。