• 検索結果がありません。

目次 1. はじめに 調査背景 目的 調査の実施概要 文献調査 企業経営者の情報セキュリティに対する認識 姿勢... 2 企業経営者の情報セキュリティに対する認識 姿勢の実態... 2 CISO の設置状況... 4 情報セ

N/A
N/A
Protected

Academic year: 2021

シェア "目次 1. はじめに 調査背景 目的 調査の実施概要 文献調査 企業経営者の情報セキュリティに対する認識 姿勢... 2 企業経営者の情報セキュリティに対する認識 姿勢の実態... 2 CISO の設置状況... 4 情報セ"

Copied!
94
0
0

読み込み中.... (全文を見る)

全文

(1)

2016年5月10日

企業の CISO や CSIRT に関する

実態調査 2016

(2)

目 次

1. はじめに ... 1 1.1. 調査背景・目的 ... 1 1.2. 調査の実施概要 ... 1 2. 文献調査 ... 2 2.1. 企業経営者の情報セキュリティに対する認識・姿勢 ... 2 企業経営者の情報セキュリティに対する認識・姿勢の実態 ... 2 CISO の設置状況 ... 4 情報セキュリティに関する開示の状況 ... 4 政府等の取り組み ... 5 2.2. 組織体制・対策に関する最新の動向 ... 8 CSIRT の設置状況 ... 8 政府等の取り組み ... 10 2.3. 文献調査を踏まえた調査のポイント ... 12 3. アンケート調査及び分析 ... 13 3.1. NCA 会員企業向けアンケート調査の概要・分析 ... 13 調査の概要 ... 13 調査結果 ... 14 3.2. 日米欧の企業向けアンケート調査の概要・分析 ... 27 調査の概要 ... 27 調査結果 ... 28 3.3. アンケート結果に対する考察 ... 53 4. ヒアリング調査 ... 56 4.1. 国内企業へのヒアリング調査 ... 56 調査の概要 ... 56 ヒアリング結果 ... 56 結果の考察 ... 67 4.2. 米欧企業へのヒアリング調査 ... 70 調査の概要 ... 70 ヒアリング結果 ... 70 結果の考察 ... 86 5. まとめ ... 89

(3)

1.はじめに 1.1. 調査背景・目的 近年、企業活動における IT の積極活用は、企業の成長や事業の発展、及びグローバル化に対応 した経営変革のために必須であるとされている。一方で、IT 活用を進めるほど情報セキュリティ 上のリスクは高まり、セキュリティインシデントが企業活動に与えるインパクトは増大する。事 実、企業の事業継続に影響を与える事例が後を絶たない。 IT を積極活用した経営の攻めと情報セキュリティの守りとを高いレベルで両立するには、経営 層が情報セキュリティを経営戦略として捉え、主体的に取り組むことが肝要であるとの指摘がな されている。 独立行政法人情報処理推進機構(以下「IPA」という。)では、企業経営者の情報セキュリティ に対する認識や姿勢と、情報セキュリティの組織的対策への取り組みの実態を明らかにするとと もに、日本企業と海外諸国(米国、欧州)の企業との状況を比較し、そのデータを広く公開する ことで、わが国企業の情報セキュリティに対する取り組みのレベル向上に資することを目的とし て、「企業の CISO や CSIRT に関する実態調査 2016」(以下、「本調査」という。)を実施した1 1.2.調査の実施概要 本調査では、日本及び海外の企業経営者の情報セキュリティに対する認識や姿勢、組織的な対 策への取り組み状況を把握し、より有効な取り組みなどを明らかにするため、図 1.2-1 に示す 3 段 階の調査を行い、その結果を本報告書に取りまとめた。 1. 文献調査(2 章): 国内外の公開レポート等に対する調査 2. アンケート調査(3 章): ・日本コンピュータセキュリティインシデント対応チーム協議会 (略称:日本シーサート協議会、NCA)会員企業向けアンケート調査 ・本アンケート調査(日米欧の企業向けアンケート調査) 3. ヒアリング調査(4 章): CISO2・CSIRT3設置企業に対する国内外ヒアリング調査 1 本調査は「情報セキュリティ事象被害状況調査」の後継調査の位置づけ。従前の調査は 2014 年度版が最後。

2 Chief Information Security Officer の略。最高情報セキュリティ責任者。

3 Computer Security Incident Response Team の略。サイバー攻撃による情報漏えいや障害など、コンピュー

タセキュリティにかかるインシデントに対処するための組織。 Phase2 アンケート調査 Phase3 ヒアリング調査 • CSIRT及びCISOの両方を設置し ている企業を対象にヒアリング調 査を実施 • 情報セキュリティに対する取り組 みの実態を把握(ベストプラクティ スの収集) • 日本・アメリカ・欧州で、各3社以上 • 文献調査を基に調査票を設計 • 情報セキュリティに関する経営者の 認識、CSIRTの状況・効果等を把握 • 日本シーサート協議会(NCA)の会 員企業を対象として実施 2-1. 日本シーサート協議会会 員企業向けアンケート調査 2-2.日米欧の企業向けのアンケート調査 3. CISO・CSIRT設置企業に対 するヒアリング調査 • 文献調査及びNCA会員企業向け アンケート調査結果を基に調査票 を設計 • 日本及び海外の企業経営者の情 報セキュリティに対する認識や姿 勢、組織的な対策への取り組み 状況を把握 • 日本、米国、欧州の従業員300人 以上の企業に対するウェブアン ケート調査を実施 Phase1 文献調査 • 以下の観点において、公開レポー ト等を中心に文献調査を実施 ① 企業経営者の情報セキュリティ に対する認識・姿勢 ② 組織体制・対策に関する最新 の動向 ③ 個別企業の事例 1. 文献調査 図 1.2-1 調査実施フロー

(4)

2.文献調査 文献調査においては、以下の観点に関する国内外の公開レポート等の情報を調査し、最新の動 向及び政府等の取り組みを整理した。また、調査結果は 3 章以降のアンケート調査及びヒアリン グ調査の項目検討の参考とした。  企業経営者の情報セキュリティに対する認識・姿勢  組織体制・対策に関する最新の動向 2.1.企業経営者の情報セキュリティに対する認識・姿勢 企業活動における IT への依存度が高まる中、情報セキュリティインシデントが企業活動に与え るインパクトは年々増大している。今後、企業のグローバル化が進展するのに伴い、この傾向は より顕著になるものと想定され、企業が情報セキュリティ対策を実施する上で、企業経営者が情 報セキュリティを経営戦略として捉え、主体的に取り組むことの重要性が各方面で指摘されてい る。 企業経営者の情報セキュリティに対する認識・姿勢の実態 日本情報システム・ユーザー協会が東証一部上場企業とそれに準じる企業を対象に実施した「企 業 IT 動向調査 2015」4(有効回答社数:1,125 社)によれば、回答企業において経営幹部が情報セ キュリティ対策に積極的に関わっている(「経営幹部が昨今の企業を取り巻くセキュリティリスク の深刻さを重要視しており、重大なセキュリティリスクや対策の重要性については、経営会議等 で審議・報告される」と回答)割合は 30.6%であり、約 7 割の企業が自社の情報セキュリティ対 策を IT 部門や担当部門に任せている実態がうかがえる。同じ結果を回答企業の企業規模(売上高) 別にみると、企業規模が大きいほど、経営幹部が情報セキュリティへ関与する割合が高くなる傾 向にあり、特に中小企業における意識向上が今後の課題になると考えられる。(図 2.1-1 参照) 4 一般社団法人日本情報システム・ユーザー協会「第 21 回企業 IT 動向調査 2015(14 年度調査)―データで探

(5)

出所)一般社団法人日本情報システム・ユーザー協会

図 2.1-1 セキュリティと経営の関係(売上高別)

グローバル企業においても、経営層の情報セキュリティに対する認識は課題となっている。米 国カーネギーメロン大学の CyLab が 2012 年に Forbes Global 20005企業の経営層(board member ま

たは senior executive)を対象に実施したアンケート調査6では、経営層によって積極的に取り組ま れている項目として、「リスクマネジメント」、「M&A」、「長期的戦略及び事業目標」、「コンプライ アンス」の項目が 9 割以上挙げられているのに対し、「コンピュータ・情報セキュリティ」を上げ た経営層は 33%に留まっている(図 2.1-2 参照)。 出所)カーネギーメロン大学 CyLab 図 2.1-2 経営層によって積極的に取り組まれている事項 5 Forbes 誌が世界の公開会社について、売上高、純利益、資産、時価総額を踏まえて毎年公表する上位 2,000 社 の企業ランキング。

6 Jody R. Westby (CyLab), “Governance of Enterprise Security: CyLab 2012 Report ―How Boards & Senior

Executives Are Managing Cyber Risks,” May 16, 2012.

(6)

また、PwC(PricewaterhouseCoopers)が実施した「グローバル情報セキュリティ調査 2015」7 結果においても、取締役会が全体のセキュリティ戦略に積極的に参加しているとの回答は 42%、 取締役会がセキュリティポリシーに関与しているとの回答は 36%であった。 経営層の認識を変え、情報セキュリティを経営戦略の優先事項として位置付けることは、国内 外問わず、難しい課題となっている。 一方、情報セキュリティ対策に対する投資に関しては、日本と海外企業の意識の差を示す調査 結果も報告されている。前述の PwC の調査(2015 年)では、企業におけるセキュリティ投資は、 グローバル企業の平均投資額 4.2 億円であるのに対して日本企業では 2.1 億円と 2 分の 1 にとど まっており、日本企業が年々複雑化し増大するサイバー空間の脅威に対して、十分な投資を実施 していないと指摘している。 CISO の設置状況 情報セキュリティ対策の推進において、経営層に求められる最も重要な役割は、投資やリソー ス配分に関する意思決定であり、こうした意思決定を支援する上で、社内の情報セキュリティに 関する取りまとめ・調整機能が重要となる。この機能を持つのが、経営層と管理者・現場をつな ぐ CISO(Chief Information Security Officer)である。

IPA が 2014 年に実施した「2014 年度情報セキュリティ事象被害状況調査」8においては、国内

企業における CISO(専任者・兼任者含む)の設置割合は 41.6%(300 人以上企業においては 47.6%) であり、そのうち 37.3%は兼任者であった。一方、前述の Cylab の調査(2012 年)では、米国、 欧州及びアジア地域における CISO の設置割合はそれぞれ 58%、72%、52%となっており、日本 を含むアジア地域の CISO の設置割合は米欧と比較して低い水準となっている。また、CISO のレ ポートラインとして、米欧においては、CIO(Chief Information Officer)が一般的なのに対し、ア ジア地域では、CEO(Chief Executive Officer)が主要なレポートラインとなっている。他のデータ9

も参考にすると、日本では、CISO が CIO や CPO(Chief Privacy Officer)等の他の役職を兼務して いるケースが多いと考えられる。 情報セキュリティに関する開示の状況 経営層の情報セキュリティに対する認識を図る指標として、情報セキュリティの基本方針や対 策状況、情報セキュリティリスクの開示の実施状況がある。 7 PwC「グローバル情報セキュリティ調査 2015―相互につながった世界におけるサイバーリスクマネジメント ―」 http://www.pwc.com/jp/ja/advisory/research-insights-report/assets/pdf/information-security-survey2015.pdf 8 独立行政法人情報処理推進機構「2014 年度情報セキュリティ事象被害状況調査報告書」(2015 年 1 月) http://www.ipa.go.jp/security/fy26/reports/isec-survey/ 92006 年に日本経団連の情報通信委員会の企業に対して実施した調査によると、回答企業のうち 75%が CISO を 設置しており、そのうち「専任のCISO を設置している」のは 7%、「情報システム担当者(CIO)が兼務してい る」が37%、「プライバシー(個人情報保護)担当責任者(CPO)が兼務している」が 14%であった。 情報セキュリティ政策会議人材育成・資格制度体系化専門委員会「人材育成・資格制度体系化専門委員会報告書

(7)

米国においては、証券取引委員会(SEC)が登録会社(上場企業)に対して、投資判断に影響を 及ぼしうるようなサイバーセキュリティリスク情報について、任意ではあるが、可能な範囲で投 資家と情報を共有するよう求めており、開示に関するガイダンスも提供している。 国内においても有価証券報告書に企業の事業リスクを開示することが義務付けられているが、 サイバーセキュリティリスクを記載するかは各企業の判断に任されている。 内閣サイバーセキュリティセンターの委託調査「企業の情報セキュリティリスク開示に関する 調査」10によれば、日経 225 社(平成 26 年 11 月 1 日時点)のうち、平成 25 年度の有価証券 報告書にサイバーセキュリティリスクを開示している企業は 60%(136 社)で、平成 21 年度の 52%(116 社)から増加している。一方、そのうちサイバーセキュリティリスクの記載文が 5 年間 同一の企業が 28.9%(65 社)ある。さらに、その多くは包括的かつ簡潔で意味が広くとらえられ る記載となっており、形だけの開示に過ぎないケースもあると考えられる。開示企業全体におい ても、社内におけるインシデント発生事案といった、具体的なリスク情報を開示する企業はごく わずかであった。 有価証券報告書以外にも、情報セキュリティに対する取り組みを企業のホームページや「情報 セキュリティ報告書」という形で定期的に公表する企業もある。 情報セキュリティの開示は、企業の自主判断に任されているからこそ、どのような考え方や目 的の下で開示を行っているかは、経営層の認識を知るうえで重要な情報となる。 政府等の取り組み 政府では、経済産業省を中心に 10 年以上前から、企業経営者による情報セキュリティに対する 積極的な関与の促進に取り組んでいる。2004 年に経済産業省に設置された「企業における情報セ キュリティガバナンスのあり方に関する研究会」では、情報セキュリティ対策を単なるコストで はなく、企業価値を高めるために積極的に取り組むべき投資対象として位置付けるための環境整 備や推進体制の構築・運用に関して検討を行い、「コーポレート・ガバナンスと、それを支えるメ カニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」 として、企業経営における「情報セキュリティガバナンス」という新たな概念を示している 11 さらに、2009 年 5 月には経済産業省が「情報セキュリティガバナンス導入ガイダンス」12を公表 し、情報セキュリティガバナンスのフレームワークとして、経営戦略やリスク管理の観点から行 う「方向付け(Direct)」、ガバナンス活動の状況を指標に基づき可視化する「モニタリング(Monitor)」 や結果を判断する「評価(Evaluate)」、これらのプロセスが機能していることを確認する「監督 (Oversee)」、結果を利害関係者等に提示する「報告(Report)」からなる、経営陣が取り組むべき 10 ニュートン・コンサルティング株式会社(内閣サイバーセキュリティセンター委託調査)「企業の情報セキュ リティリスク開示に関する調査―調査報告書―」(2015 年 3 月) http://www.nisc.go.jp/inquiry/pdf/kaiji_honbun.pdf 11 「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」(2005 年 3 月) http://www.meti.go.jp/report/downloadfiles/g50331d00j.pdf 12 経済産業省「情報セキュリティガバナンス導入ガイダンス」(2009 年 6 月) http://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf

(8)

行動の指針を示した(図 2.1-3 参照)。 なお、組織における情報セキュリティガバナンスの概念や原則、活動に関するガイダンスであ る国際標準 ISO/IEC 27014 が「情報セキュリティガバナンス導入ガイダンス」で示されたフレー ムワークを基に、ISO/IEC JTC1 に国際提案され、2013 年に発行された。さらに、JIS 化も進めら れ、2015 年には「JIS Q 27014:2015 情報セキュリティガバナンス」が発行されている。 出所)経済産業省 図 2.1-3 情報セキュリティガバナンスのフレームワーク 経営層による情報セキュリティへの関与強化に関する別の視点からの取り組みとして、2012 年 IPA は、法学・経営学・会計学・心理学等の専門家からなる「日本的経営と情報セキュリティ研究 会」を設置し、「日本的経営」において経営者が情報セキュリティを経営戦略にとらえ、いかに企 業に情報セキュリティを定着させるべきか検討を行っている 13。研究会の報告書では、経営層の リーダーシップによって「セキュリティ経営」を実現するための企業のリスクマネジメントの在 り方として、①経営者による合理的なリスク判断、②社内の情報共有における「Need to Know」の 原則の確立、③残留リスクの認識、④適切なセキュリティ投資の算定が必要となるとの考えを示 している。 2014 年には、「サイバーセキュリティ基本法」が成立したことを踏まえ、経済産業省及び IPA が 共催で「サイバーセキュリティリスクと企業経営に関する研究会」を設置し、重要インフラ等民 間事業者におけるセキュリティ対策促進の観点から、国内外の状況整理、政策のあり方の検討を 行った。この検討の成果として、2015 年 12 月に「サイバーセキュリティ経営ガイドライン」が策 定され、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3 原則」(表 2.1-1 参 13 独立行政法人情報処理推進機構 日本的経営と情報セキュリティ研究会「日本的経営と情報セキュリティ研究

(9)

照)、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO 等)に 指示すべき「重要 10 項目」(表 2.1-2 参照)が示された。 表 2.1-1 経営者が認識する必要がある「3 原則」 (1) セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話 は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ 投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与 えるリスクが見過ごされてしまう。 (2) 子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバ ー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業 やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。 (3) ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感 を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケー ションが必要である。 表 2.1-2 情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO 等) に指示すべき「重要 10 項目」 指示1 サイバーセキュリティリスクへの対応について、組織の内外に示すための方針(セキュリティポリシー)を策定すること。 指示2 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。 指示3 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへ の対処に向けた計画を策定すること。 指示4 計画が確実に実施され、改善が図られるよう、PDCA を実施すること。また、対策状況については、 CISO 等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべ く適切に開示すること。 指示5 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様に PDCA の運用を含むサイバー セキュリティ対策を行わせること。 指示6 PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成な ど資源の確保について検討すること。 指示7 IT システムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に 委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻 撃を想定したサイバーセキュリティの確保を確認すること。 指示8 攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映す ること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被 害が社会全体に広がることの未然防止に貢献すること。 指示9 サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT(サイバー攻撃による 情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織)の 整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的 な演習を実施すること。 指示10 サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするととも に、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。 上記の 3 原則(3)においても、経営者に対して、平時からステークホルダーに向けたセキュリ ティ対策に関する情報開示を推奨しているが、これについては企業に具体的な対応を求める動き もある。サイバーセキュリティ基本法に基づき新たに策定された「サイバーセキュリティ戦略」 の年次計画として 2015 年 9 月に決定された「サイバーセキュリティ 2015」14においては、内閣官 14 サイバーセキュリティ本部「サイバーセキュリティ 2015」(2015 年 9 月 25 日) http://www.nisc.go.jp/active/kihon/pdf/cs2015.pdf

(10)

房及び金融庁において、「上場企業におけるサイバー攻撃によるインシデントの可能性等について、 米国の証券取引委員会(SEC)における取り組み等を参考にしつつ、事業等のリスクとして投資家 に開示することの可能性を検討し、結論を得る。」と示されており、情報セキュリティに関する開 示の指針が示されることで、経営層の意識改革の契機となる可能性もある。 さらに、民間主導による取り組み強化の動きも見られている。2015 年 2 月に日本経済団体連合 会が公表した「サイバーセキュリティ対策の強化に向けた提言」15では、サイバーセキュリティの 確保は全ての企業にとって、企業の信用の維持や、事業の継続に関わる重要な課題であり、サイ バーセキュリティを技術上の問題だけではなく、経営上の重要課題として位置付け経営層の意識 改革を図るとし、経営層の強力なリーダーシップにおける CISO の設置等の組織改革・人材育成、 CSIRT(Computer Security Incident Response Team)の設置等についても言及している。

2.2.組織体制・対策に関する最新の動向 情報セキュリティ対策を実施する組織体制・対策として、近年セキュリティインシデント対応 機能の重要性が高まっており、CSIRT の設置が広がっている。 CSIRT の設置状況 NRI セキュアテクノロジーズが 2014 年に上場企業を中心とする 3,000 社の情報セキュリティ担 当者を対象に実施したアンケート調査においては、CSIRT を構築済み 16であると回答した企業は 41.8%であり、前年調査の 19.0%から大幅に増加している17

国内の CSIRT 設置企業からなる日本シーサート協議会(NCA:Nippon CSIRT Association)(3.1 参照)においても、2014 年 8 月時点で 59 組織であった加盟組織が 2015 年 8 月時点では 95 組織 と 1 年で約 1.6 倍に増加している18。また、加盟組織のうち、CSIRT 設立年が 2013 年以降の組織 が 8 割強を占めており、まだ多くの組織で組織体制の整備を進めながら実績を積み上げている段 階にあると考えられる19(図 2.2-1 参照) 15 一般社団法人日本経済団体連合会「サイバーセキュリティ対策の強化に向けた提言」(2015 年 2 月 17 日) https://www.keidanren.or.jp/policy/2015/017_honbun.pdf 16 すでに構築済みである及び類似機能を情報システム部門で実施を含む。

17 NRI セキュアテクノロジーズ「社内 CSIRT を構築済みの企業が全体の 4 割を超える(NRI セキュアテクノロ

ジーズ株式会社)― 企業における情報セキュリティ実態調査 2014 ―」(2015 年 1 月 27 日) https://www.nri.com/jp/info/2015/150127.aspx

(11)

出所)日本シーサート協議会

図 2.2-1 日本シーサート協議会加盟組織数の推移(左)及び設立年の分布(右)

海外のデータとして、Economist 誌が 2013 年に 360 人の経営層(senior business leaders)を対象 に実施した調査20によれば、正式なインシデントレスポンスチームを設置する組織は 65%、設置 準備を進めている組織は 18%であった(図 2.2-2 参照)。 同調査では、インシデントに対して十分に準備する上で企業にとって重要なこととして、「自社 における潜在的脅威に対する十分な理解」が 41%と最も多く挙げられている。また、「経営層の関 与や関心の向上」も 25%の回答者が選択している(図 2.2-3 参照)。 一方、自社のインシデント対応の機能において、不十分な点という設問に対しては、「ビジネス に対する影響の適正な推測」が 49%、「インシデントの 24 時間以内の検知」が 36%であった(図 2.2-4 参照)。

出所)Economist Intelligence Unit

図 2.2-2 インシデントレスポンスの準備状況

20 Economist Intelligence Unit, “Cyber Incident Response – Are Business Leaders Ready?” , 2014.

(12)

出所)Economist Intelligence Unit

図 2.2-3 インシデントに対して十分に準備する上で、企業にとって重要なこと

出所)Economist Intelligence Unit

図 2.2-4 自社のインシデント対応の機能において、不十分な点 政府等の取り組み

国内では、JPCERT コーディネーションセンター(JPCERT/CC)が企業における「組織内 CSIRT」 の設置に関する普及活動を行っており、組織内 CSIRT の構想、構築、運用に関するマニュアルと して「CSIRT マテリアル」を提供している。

(13)

報共有や連携の体制を構築するとともに、新たに組織内 CSIRT を設立する組織の支援や、サイバ ーセキュリティに関する各種の普及活動も行っている。

他方、政府においても 2012 年の情報セキュリティ政策会議において、政府機関がインシデント に機動的に対応するため、各省庁に CSIRT の機能を設置するよう要請し21、さらに企業等におい

ても CSIRT の機能を保有する取り組みを促進している。省庁における CSIRT の設置は 2013 年 3 月に完了し、CSIRT の連絡窓口担当者による情報共有のための各府省庁 PoC(Point of Contact)会 議も開催されている。 また、金融庁は 2015 年 2 月に「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」 等の一部改正を公表し、同年 4 月から運用を開始している。この中で取締役会等が整備すべきサ イバーセキュリティ管理体制の例として、組織内 CSIRT が挙げられており、金融機関及び関連組 織における CSIRT 設置の流れが進むと考えられる。 21 情報セキュリティ対策推進会議官民連携強化のための分科会「情報セキュリティ対策に関する官民連携の在り 方について」(2012 年 1 月 19 日) http://www.nisc.go.jp/conference/seisaku/dai28/pdf/28shiryou1-1.pdf

(14)

2.3.文献調査を踏まえた調査のポイント 文献調査で得られた知見を踏まえ、アンケート調査及びヒアリング調査においては表 2.3-1 に 示す点を確認するように設問/質問項目の設計を行った。また、本アンケート調査(日米欧の企 業向けアンケート調査)においては、前述の「サイバーセキュリティ経営ガイドライン」(2015 年 12 月)策定時に検討された内容についても、設問項目に織り込んでいる。 表 2.3-1 文献調査を踏まえたアンケート調査及びヒアリング調査における確認事項 調査項目 文献調査の考察 アンケート調査における確 認事項(全体動向) ヒアリング調査における確 認事項(個別事例) 企 業 経 営 者 の 情 報 セ キ ュ リ テ ィ に 対する認識・姿勢 ・ 経営層が情報セキュリテ ィを経営戦略上の優先事 項として認識していない。 ・ 国内の CISO の設置率は米 欧に比べて低い水準にあ り、また兼務が一般的であ るため権限、役割が不透明 ・ 情報セキュリティの開示 が進む一方で、形式上でし か実施されていないケー スもある。 ・ 情報セキュリティに対す る経営層の認識(経営会 議等における審議の実施 状況) ・ CISO 等の設置状況、役割・ 権限 ・ 情報セキュリティに関す る開示の状況、開示理由 ・ 情報セキュリティに対す る経営層の認識(他の経 営課題や事業リスクと比 較した場合の、情報セキ ュ リ テ ィ リ ス ク の 重 要 性) ・ CISO 等に与えられてい る役割、権限、経営層との コミュニケーションの状 況 組織体制・対策に 関 す る 最 新 の 動 向 ・ インシデントレスポンス に対する意識の高まりか ら、CSIRT の設置が急速に 進んでいる。 ・ 国内においては設置して から日の浅い CSIRT が多 く、機能の有効性において 課題が残る。 ・ CSIRT の活動の有効性を 高める上で経営層の理解 が重要となる。 ・ CSIRT の設置状況 ・ CSIRT の機能及び有効性、 有効性に寄与する要素 ・ CSIRT のインシデント対 応経験 ・ CSIRT の活動に対する経 営層の評価の実施有無 ・ CSIRT の設置経緯・目的 ・ CSIRT の体制 ・ CSIRT の活動に対する経 営層の理解 セ キ ュ リ テ ィ 対 策全般 ― ・ 情報セキュリティ投資 ・ 情報セキュリティ体制 ・ 情報セキュリティ対策の 実施状況 ・ 情報セキュリティ被害の 状況 ・ ガイドライン・標準の参 照 ・ 情報セキュリティ対策全 般における特徴的なベス トプラクティス

(15)

3.アンケート調査及び分析 企業経営者の情報セキュリティに対する認識や姿勢、組織的な取り組み状況を考慮した動向を 把握するため、日本シーサート協議会(NCA)会員企業向けアンケート調査と本アンケート調査 を実施した。 3.1.NCA 会員企業向けアンケート調査の概要・分析 調査の概要 情報セキュリティの取り組みが進んでいると考えられる CSIRT 設置企業を対象に、情報セキュ リティに対する経営者の認識、CSIRT や組織的な情報セキュリティ対策の実施状況・効果等を明 らかにするため、NCA に協力頂き、NCA 会員企業に設置されている CSIRT を対象に、アンケー ト調査を実施した。 得られたアンケート調査結果は 3.2 に示す本アンケート調査の調査項目の参考とした。 調査の概要を表 3.1-1 に示す。 回答企業の属性等、アンケート調査結果の詳細に関しては付録 1 を参照のこと。 表 3.1-1 NCA 会員企業向けアンケート調査の概要 調査目的 情報セキュリティの取り組みが進んでいると考えられる CSIRT 設置企業におけ る、情報セキュリティに対する経営者の認識、CSIRT や組織的な情報セキュリテ ィ対策の実施状況・効果等を把握し、その結果を分析することで、我が国企業の情 報セキュリティに対する取り組みレベルの向上に資するデータを取得する。 調査主体 独立行政法人情報処理推進機構(IPA) (アンケート調査は IPA の委託により株式会社三菱総合研究所が実施) 調査対象 日本シーサート協議会(NCA)会員の CSIRT 設置企業 97 社 (2015 年 10 月時点の全加盟組織) 調査期間 2015 年 10 月 14 日~2015 年 11 月 2 日 調査方法 電子メールによる調査票送付・回収 (調査票の送付・回収は IPA が実施し、集計及び分析は株式会社三菱総合研究所 が実施) 回収結果 有効回答 67 件(回収率 69%) 調査項目 ・回答企業の基本情報 ・情報セキュリティに対する経営者の認識 ・CSIRT の取り組み等

(16)

調査結果 回答企業の属性 回答企業の業種は、情報通信業、製造業、金融・保険業が多く、企業規模は「従業員数 301 名 以上」が 95.6%と大企業中心である(図 3.1-1 及び図 3.1-2 参照)。 図 3.1-1 回答企業の業種 図 3.1-2 回答企業の総従業員数 0.0 0.0 1.5 19.4 0.0 0.0 35.8 3.0 1.5 16.4 1.5 1.5 0.0 1.5 1.5 1.5 0.0 11.9 3.0 0% 20% 40% 60% 80% 100% 農業、林業及び漁業 鉱業及び採石業 建設業 製造業 電気、ガス、蒸気及び空調供給業 水供給、下水処理並びに廃棄物管理及び浄化活動 情報通信業 運輸・保管業 卸売・小売業 金融・保険業 不動産業 専門・科学・技術サービス業 管理・支援サービス業※ 宿泊・飲食サービス業 芸術・娯楽及びレクリエーション 教育 保健衛生及び社会事業 その他のサービス業 その他 N=67 ※例:物品賃貸・リース業、旅行代理店業等 0.0% 3.0% 1.5% 23.9% 23.9% 47.8% N=67 50名以下 51名~100名以下 101名~300名以下 301名~1,000名以下 1,001名~5,000名以下 5,001名以上

(17)

経営層の情報セキュリティに対する関与 経営層 22の情報セキュリティに対する関与状況について、回答企業の 89.6%が、「(経営層が、 自社の情報セキュリティリスクや対策を審議する)会議等があり、情報セキュリティに関する意 思決定の場として機能している」と回答しており、経営層が情報セキュリティに積極的に関与す る土壌があるといえる(図 3.1-3 参照)。 一方、アンケート全体の自由記述では「情報セキュリティの重要性への意識は高まってきたが、 具体的な事柄についての認識はこれから」、「情報セキュリティに対して一定の認識を経営層はも つが、コストと実行性のバランスを考えると大きな対応が難しいのが現状」、「情報セキュリティ の重要性や必要性について、経営層に正しく理解してもらうのが困難な場合がある」等の回答も あり、現場が求める情報セキュリティ対策の必要性や実現方法について、経営層の十分な理解を 得るにはまだハードルがある状況も見えている(付録 1 問 19 自由記述参照)。 図 3.1-3 経営層の情報セキュリティに対する関与 CISO の設置状況 経営層として、CISO 等(CISO または同等の責任者)を設置している回答企業の割合は 62.7% であり、さらに経営層以下の CISO 等も含めると設置割合は 73.1%になる(図 3.1-4 参照)。 業種別にみると、「情報通信業」において CISO の設置が進んでおり、中でも経営層としての CISO 等の設置割合が高い傾向がある(図 3.1-5 参照)。 22 ここでは「経営層」を、組織の経営または業務執行に責任を持つ、取締役、執行役、執行役員を含めた階層 としている。 89.6% 9.0% 1.5% N=67 会議等があり、情報セキュリティに関する意思 決定の場として機能している 会議等があるが、情報セキュリティに関する 意思決定の場としては機能していない 経営層が、自社の情報セキュリティリスクや対 策を審議する場がない

(18)

図 3.1-4 CISO 等の設置状況 図 3.1-5 CISO 等の設置状況(業種別) 経営層・CISO 等と CSIRT の関係 CISO 等が直接または間接的に CSIRT の指揮・監督を行っている企業が 59.7%となり、何らか の形で CISO 等と CSIRT の関係が構築されている状況がうかがえる(図 3.1-6 参照)。 さらに、業種別にみると、「製造業」においては CISO 等が直接的に、「情報通信業」においては CISO 等が間接的に、「金融・保険業」においては CISO 等以外の経営層が間接的に CSIRT を指揮・ 監督する関係が主流となっており、業種によって CISO 等と CSIRT の位置づけは異なる(図 3.1-7 参照)。 62.7% 10.4% 23.9% 3.0% N=67 経営層としてCISO等を設置して いる 経営層よりも下の階層に、CISO 等を設置している CISO等を設置していない わからない 53.8 15.4 30.8 0.0 75.0 16.7 4.2 4.2 63.6 0.0 36.4 0.0 52.6 5.3 36.8 5.3 0% 20% 40% 60% 80% 100% 経営層としてCISO等を設置している 経営層よりも下の階層に、CISO等を 設置している CISO等を設置していない わからない 製造業(N=13) 情報通信業(N=24) 金融・保険業(N=11) その他(N=19)

(19)

図 3.1-6 CISO 等と CSIRT の関係 図 3.1-7 CISO 等と CSIRT の関係(業種別) また、経営層と CSIRT の関係に関しては、回答企業の 64.2%で、定期/非定期の経営層による CSIRT の評価を実施している(図 3.1-8 参照)。その内 83.8%の企業では、評価結果が CSIRT の活 動の改善に反映されているとし、経営層と CSIRT の間で活動の評価・改善の流れが構築されてい る(図 3.1-9 参照)。 37.3% 13.4% 22.4% 11.9% 10.4% 4.5% N=67 CISO等が直接CSIRTに指揮・監督を行う CISO等以外の経営層が直接CSIRTに指揮・監督 を行う CISO等が関係部門を通して、間接的にCSIRTの 指揮・監督を行う CISO等以外の経営層が関係部門を通して、間 接的にCSIRTの指揮・監督を行う CISO等及び経営層はCSIRTに対して指揮・監督 を行わない わからない 53.8 7.7 15.4 7.7 15.4 0.0 29.2 16.7 37.5 8.3 4.2 4.2 27.3 18.2 9.1 36.4 9.1 0.0 42.1 10.5 15.8 5.3 15.8 10.5 0% 20% 40% 60% 80% 100% CISO等が直接CSIRTに指揮・監督を行う CISO等以外の経営層が直接CSIRTに指揮・監督を行う CISO等が関係部門を通して、間接的にCSIRTの 指揮・監督を行う CISO等以外の経営層が関係部門を通して、間接的にCSIRT の指揮・監督を行う CISO等及び経営層はCSIRTに対して指揮・監督を行わない わからない 製造業(N=13) 情報通信業(N=24) 金融・保険業 (N=11) その他(N=19)

(20)

図 3.1-8 経営層による CSIRT 活動の評価 図 3.1-9 経営層による CSIRT 活動の評価に基づく改善の実施 組織における CSIRT の位置づけ 回答企業のうち、2 年以内に設置された CSIRT が 65.6%を占めており、CSIRT の設置が急速に 進んでいる状況がうかがえる(図 3.1-10 参照)。特に、金融・保険業において設置してから日の浅 い組織が多い(図 3.1-11 参照)。2015 年 2 月の金融庁ガイドライン(「主要行向けの総合的な監督 指針」及び「金融検査マニュアル」等)の改正において、緊急時対応体制として CSIRT が言及さ れているため、今後も金融機関を中心に CSIRT 設置の動きが高まっていく可能性がある。 37.3% 0.0% 26.9% 35.8% N=67 年単位、またはそれ以上(半期、四半期等) のペースで実施している 複数年単位(3か年、5か年等)のペースで 実施している 定期的ではないが、適宜実施している 実施していない 41.9% 41.9% 11.6% 0.0% 4.7% N=43 十分に反映されている ある程度反映されている あまり反映されていない 全く反映されていない 無回答

(21)

図 3.1-10 CSIRT 設置期間 図 3.1-11 CSIRT 設置期間(業種別) 回答企業の CSIRT の組織的位置づけとしては、「情報システム部門内」(37.3%)、「経営層直属 の独立組織」(10.4%)、「事業部門内」(10.4%)、「経営企画・リスク管理部門内」(9.0%)の順に 多い。「その他」(25.4%)の回答としては、情報セキュリティ部門内や部門・全社横断的な仮想的 な組織として活動している等の回答が複数挙げられている(図 3.1-12 参照)。 31.3% 34.3% 19.4% 14.9% N=67 1年以内 1年~2年 3年~5年 6年以上 38.5 15.4 38.5 7.7 29.2 29.2 20.8 20.8 36.4 54.5 9.1 0.0 26.3 42.1 10.5 21.1 0% 20% 40% 60% 80% 100% 1年以内 1年~2年 3年~5年 6年以上 製造業(N=13) 情報通信業(N=24) 金融・保険業(N=11) その他(N=19)

(22)

図 3.1-12 CSIRT の組織内の位置づけ また、インシデント対応時に CSIRT が連携する組織として、「情報システム部門」(95.5%)、「経 営企画・リスク管理部門」(89.6%)が特に多く挙げられたほか、「広報・渉外部門」(71.6%)、「法 務部門」(53.7%)に関しても、過半数の CSIRT で連携体制が構築されている。CSIRT を中心とし て、社内外の対応をカバーする全社的な連携体制が構築されている状況がうかがえる(図 3.1-13 参照)。 図 3.1-13 インシデント対応時の連携先 インシデント対応時の CSIRT の権限に関しては、回答企業の 73.1%において、インシデント対 応にあたって何らかの権限を有している。ただし、権限の範囲が一部に限定されたり、または特 定の条件を満たしたときにのみ、既存の判断・意思決定者から権限が委譲される形、又は権限は 10.4% 9.0% 37.3% 3.0% 4.5% 10.4% 25.4% N=67 経営層直属の独立組織 経営企画・リスク管理部門内 情報システム部門内 総務部門内 品質管理部門内 事業部門内 その他 95.5 89.6 53.7 11.9 25.4 71.6 22.4 0% 20% 40% 60% 80% 100% 情報システム部門 経営企画・リスク管理部門 法務部門 監査部門 人事部門 広報・渉外部門 その他 N=67

(23)

は 10.4%に限られる(図 3.1-14 参照)。 アンケート全体の自由記述においては、「CSIRT 組織がどの組織の配下に存在すべきか(または、 特定の組織の配下に存在すべきでないか)、円滑に CSIRT を運営するためにはどのような権限の 割当、承認経路を用意すべきかに関して検討中」、「明確な組織体制、エスカレーションの流れが できていない」等の意見もあり、組織体制や CSIRT の権限、指示系統について模索しながら活動 している CSIRT もあると考えられる(付録 1 問 19 自由記述参照)。 図 3.1-14 インシデント対応権限 CSIRT が持つ機能 CSIRT の持つ機能とその有効性に関するアンケート結果を、インシデント対応のフェーズ毎に 以下に示す。 ①インシデント発生及び被害の予防 インシデント発生及び被害の予防の機能としては、「情報セキュリティ関連情報の収集・分析」、 「脆弱性ハンドリング」、「攻撃等に関する注意喚起」、「社外組織との連携窓口」等は 9 割程度の CSIRT において整備されており、かつ概ね有効に機能している。 一方、「セキュリティ監査・評価」、「セキュリティツールの管理・運用」「訓練・演習の実施」に 関しては機能の整備が 7 割程度となっている(図 3.1-15 参照)。 10.4% 43.3% 19.4% 26.9% N=67 インシデント対応の判断・意思決定において 全面的な権限を持つ インシデント対応の判断・意思決定において 一部の権限を持つ 特定の条件を満たした際に、既存の判断・意 思決定者から権限が委譲される インシデント対応の判断・意思決定を行う権 限は持たず、支援のみ行う

(24)

図 3.1-15 CSIRT が持つ機能及び有効性(インシデント発生及び被害の予防) ②インシデント発生時の拡大防止(局限化) インシデント発生時の拡大防止(局限化)の機能に関しては、ほとんどの機能が 8 割以上の CSIRT で整備されており、いずれにおいても概ね有効に機能している。ただし、「インシデント後の対外 公表、法的対応」に関しては、機能を整備しているのは 6 割程度にとどまっている。(図 3.1-16 参 照)なお、前述のインシデント対応時の連携先として、「広報・渉外部門」が 71.6%で挙げられて おり、これらの専門組織と連携して対応するため、CSIRT の機能には含まれていない可能性も考 えられる(図 3.1-13 参照)。 49.3 47.8 13.4 19.4 31.3 41.8 26.9 53.7 6.0 37.3 35.8 46.3 46.3 49.3 44.8 32.8 34.3 9.0 6.0 10.4 6.0 4.5 6.0 9.0 10.4 1.5 3.0 3.0 1.5 1.5 1.5 4.5 1.5 1.5 3.0 7.5 26.9 26.9 13.4 6.0 26.9 1.5 91.0 0% 20% 40% 60% 80% 100% 情報セキュリティ関連情報の収集・分析 脆弱性情報ハンドリング セキュリティ監査・評価 セキュリティツールの管理・運用 情報セキュリティ対策に関する教育、啓発 攻撃等に関する注意喚起 訓練・演習の実施 社外組織との連携窓口 その他 ①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答 N=67 インシデント発生及び被害の予防

(25)

図 3.1-16 CSIRT が持つ機能(インシデント発生時の拡大防止(局限化)) ③インシデントの経験・知見に基づく改善策 インシデントの経験・知見に基づく改善策の機能としては、95.6%の CSIRT で整備されており、 86.5 %で機能の有効性が肯定的に評価されている(図 3.1-17 参照)。 図 3.1-17 CSIRT が持つ機能(インシデントの経験・知見に基づく改善策の実施) CSIRT の機能について、「期待したレベルを満たしている」または「ある程度期待したレベルを 満たしている」と回答した企業は 76.1%であり、全体として CSIRT の機能に対する評価は高い(図 3.1-18 参照)。 一方、CSIRT 設置からの期間が 1 年以内の企業においては、CSIRT の機能が期待したレベルを 満たしていると回答した企業が 5 割程度にとどまっており、「まだ評価できない」との回答も約 3 割ある。CSIRT 設置からの期間が 1 年以上の企業においては、8~9 割の企業で CSIRT の機能を評 価しており、経験とともに、CSIRT の機能が成熟していくと考えられる(図 3.1-19 参照)。 38.8 50.7 49.3 43.3 40.3 14.9 1.5 44.8 38.8 43.3 44.8 49.3 41.8 4.5 6.0 1.5 6.0 4.5 10.4 1.5 1.5 1.5 1.5 1.5 3.0 1.5 10.4 1.5 3.0 4.5 4.5 28.4 1.5 1.5 1.5 97.0 0% 20% 40% 60% 80% 100% インシデントの検知 社内外からのインシデント報告窓口 インシデントに対する初動対応 インシデントの調査及び分析 外部機関や関係者への連絡・調整 インシデント後の対外公表、法的対応 その他 ①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答 N=67 インシデント発生時の拡大防止(局限化) 31.3 1.5 55.2 3.0 7.5 1.5 1.5 3.0 1.5 94.0 0% 20% 40% 60% 80% 100% 再発防止策の策定 その他 ①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答 N=67 インシデントの経験・知見に基づく改善策の実施 N 67

(26)

図 3.1-18 CSIRT 機能の有効性に関する全体評価 図 3.1-19 CSIRT 機能の有効性に関する全体評価(CSIRT 設置期間別) 上記の CSIRT の有効性を左右する要素としては、「能力・スキルのある人員の確保」が 80.6%と 最も多く挙げられており、CSIRT における人員の確保の重要性が表れている。その他、「適切な対 応手順の整備・見直し」(38.8%)、「社内の既存部門との連携」(35.8%)等も有効性を高める要素 として重視されている(図 3.1-20 参照)。 アンケート全体の自由記述においては、「インシデントの検知レベルをあげても、検知・分析・ 初動を担当する要員が足りず、追い付かない」、「インシデント対応のノウハウを展開するために 労力が必要であるが、人的資源も限られていて難しい」、「外部から採用するにせよ、社内で育成 するにせよスキルがある人材が不足している」、「CSIRT 人材育成、キャリア形成をどのようにす るのかが課題」等の CSIRT に適した人員の確保や人材育成の難しさが指摘されており、CSIRT の 活動を推進するうえでボトルネックになっている可能性がある(付録 1 問 19 自由記述参照)。 16.4% 59.7% 11.9% 0.0% 11.9% N=67 期待したレベルを満たしている ある程度期待したレベルを満たしている あまり期待したレベルを満たしていない 全く期待したレベルを満たしていない まだ評価できない 52.4 19.0 28.6 87.0 8.7 4.3 92.3 7.7 0.0 80.0 10.0 10.0 0% 20% 40% 60% 80% 100% 期待したレベルを満たしている/ ある程度期待したレベルを満たしている あまり期待したレベルを満たしていない/ 全く期待したレベルを満たしていない まだ評価できない 1年以内(N=21) 1年~2年(N=23) 3年~5年(N=13) 6年以上(N=10) N=67

(27)

図 3.1-20 CSIRT 機能の有効性に寄与する要素 CSIRT のインシデント経験 過去 5 年間に経験した重大インシデントの件数としては、「0 件」(37.3%)または「1 件」(10.4%) で半数近くとなっており、CSIRT 設置企業においても重大インシデントを多く経験している企業 は限られている(図 3.1-21 参照)。アンケート全体の自由記述においては、「CSIRT 発足後に重大 なインシデントが起こっていない為、起らないのが当たり前(喉元過ぎれば)となっている様に 感じる」として、インシデントの経験がないことで危機感が低下することを懸念する声もある(付 録 1 問 19 自由記述参照)。 図 3.1-21 重大インシデントの経験 80.6 22.4 38.8 22.4 9.0 22.4 35.8 20.9 25.4 20.9 0.0 0% 20% 40% 60% 80% 100% 能力・スキルのある人員の確保 十分な予算の確保 適切な対応手順の整備・見直し 機能を実現するための十分な権限の有無 十分な活動実績 社内における機能の認知 社内の既存部門との連携 外部関係機関との連携 CSIRTコミュニティにおける積極的な情報共有 事案から得られた知見に基づく改善 その他 N=67 37.3% 10.4% 32.8% 11.9% 6.0% 1.5% N=67 0件 1件 2~5件 6~10件 11件以上 無回答

(28)

インシデント経験企業におけるインシデント判明経緯は、「社内の当事者・関係者から連絡があ った」が 73.2%と最も高くなっている。一方で、組織外(顧客や取引先、セキュリティ関係機関 等)からの連絡によって判明したケースも 9.8%~34.1%の間で回答があり、外部から CSIRT へ繋 がる窓口を整備しておくことの必要性が示されている(図 3.1-22 参照)。 図 3.1-22 重大インシデントの判明経緯 73.2 41.5 17.1 34.1 19.5 9.8 26.8 4.9 0% 20% 40% 60% 80% 100% 社内の当事者・関係者から連絡があった SOC等監視を行う部門(委託先を含む)が発見した 社内の監査や調査で発覚した 顧客や取引先から連絡があった 警察やセキュリティ関係機関から連絡があった セキュリティベンダから連絡があった 社外の第三者から連絡があった その他 N=41

(29)

3.2.日米欧の企業向けアンケート調査の概要・分析 調査の概要 文献調査結果および NCA 会員企業向けアンケート調査の結果をもとに、日米欧の企業を対象 とした調査票を作成し、アンケート調査(以下、「本アンケート調査」と呼ぶ)を実施した。 本調査では、経営層の情報セキュリティに関する認識や組織的対策の取り組み状況を把握す ることを目的に、日本・米国・欧州の従業員数 300 人以上の企業を対象に実施した。なお、欧州 の調査対象国は英国・独国・仏国とした。調査の概要を表 3.2-1 に示す。 回答企業の属性等、アンケート調査結果の詳細に関しては付録 2 を参照のこと。 表 3.2-1 本アンケート調査の概要 調査目的 企業経営者の情報セキュリティに対する認識や姿勢、組織的な取り組み状況等 を把握し、日米欧での比較分析等を実施することにより、我が国企業の情報セ キュリティレベルの向上に資する。 調査主体 独立行政法人情報処理推進機構(IPA) (アンケート調査は IPA の委託により株式会社三菱総合研究所が実施) 調査対象 日本・米国・欧州(英・独・仏)の従業員数 300 人以上企業の

・CISO(Chief Information Security Officer/最高情報セキュリティ責任者)等23

・情報システム/セキュリティ担当部門の責任者 ・情報システム/セキュリティ担当部門の担当者 調査期間 2015 年 11 中旬から 12 月下旬 調査方法 ウェブアンケート調査(調査画面は各国の公用語で作成) 回収結果 日本 588 件、米国 598 件、欧州 540 件(英 195 件、独 205 件、仏 140 件) 調査項目 ・回答企業の基本情報 ・情報セキュリティに対する経営者の認識 ・組織的対策の取り組み状況 ・CSIRT 等の取り組み状況 ・ウイルス・サイバー攻撃の被害状況 等 データ精査 回答データに関して下記の方針で精査し、該当したものは除外した。 ・総売上高の入力値が明らかな異常値を入力しているデータ ・問 1IT 投資額の入力値が明らかな異常値を入力しているデータ ・問 14(2)情報セキュリティ担当の専任者数が 100 人以上を入力しているデー タ ・問 15 で「ウイルス対策ソフト・サービス」「ファイアーウォール」の何れも 選択していないデータ 23 本調査における CISO 等とは、組織全体の情報セキュリティ対策を統括する CISO または同等の責任者を指す

(30)

調査結果 セキュリティ投資 セキュリティ投資額に関して、日米欧ともに「1 千万円~5 千万円未満」の割合が一番高い。セ キュリティ投資額の全体的な傾向として、300 人以上企業に関しては日米欧で大きな差はない(図 3.2-1 参照)。 図 3.2-1 セキュリティ投資額 セキュリティ投資評価 情報セキュリティの投資評価に関して、「評価を実施していない」企業の割合は日本が 28.1%と 日米欧の中で一番高い。また、米欧では約半数が「定性的・定量的評価ともに実施している」と 回答しているが、日本は 33.7%となっており、セキュリティ投資評価の実施状況に関しては米欧 が先行している(図 3.2-2 参照)。 18.9 12.5 16.3 20.2 23.1 27.2 15.6 15.4 22.2 11.9 21.2 13.7 4.8 5.9 5.6 1.9 3.0 2.4 26.7 18.9 12.6 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 1千万円未満 1千万円~5 千万円未満 5千万円~1億円未満 1億円~10 億円未満 10億円~50億円未満 50億円以上 不明 20.1 14.5 13.0 18.2 19.2 29.1 33.7 50.5 48.7 28.1 15.7 9.3 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 定量的評価を実施している 定性的評価を実施している 定量的・定性的評価ともに実施している 評価を実施していない

(31)

セキュリティ投資評価の実施状況を CISO 等の設置状況別にみると、日米欧ともに、CISO 等を 設置している企業では定量的または定性的評価を実施している割合が 8 割を超えている。一方、 CISO 等を設置していない企業では「評価を実施していない」割合が高く、日本企業では 46.7%と なっている。 特に「定量的・定性的評価ともに実施している」に関しては、日米欧ともに「経営層として CISO 等を任命している」企業のほうが「経営層よりも下の階層に、CISO 等を任命している」企業より も実施割合が高い(図 3.2-3 参照)。 図 3.2-3 セキュリティ投資評価(CISO 等設置状況別) 経営層の関与 経営層が自社の情報セキュリティリスクや対策状況を審議する機会の有無とその会議の有効性 について、「会議等があり、情報セキュリティ関する意思決定の場として機能している」と回答し た割合は、日本が 66.0%、米国は 62.9%、欧州は 59.1%となっている(図 3.2-4 参照)。 一方日本では、「経営層が、自社のセキュリティリスクや対策を審議する機会がない」と回答し た割合が 13.6%となっており、日本では経営層が自社の情報セキュリティに関与していないケー スが一定数存在する(図 3.2-4 参照)。 26.7 24.2 12.0 21.4 13.5 4.3 17.5 11.9 1.6 16.0 30.1 16.0 15.7 22.9 24.5 22.4 37.7 26.2 40.4 32.7 25.3 58.1 51.1 30.9 56.1 43.6 41.0 16.9 13.1 46.7 4.8 12.6 40.4 4.0 6.8 31.1 0 % 20 % 40 % 60 % 80 % 100 % 経営層としてCISO等を任命している(N=225) 経営層よりも下の階層に、CISO等を任命している(N=153) CISO等を任命していない(N=150) 経営層としてCISO等を任命している(N=248) 経営層よりも下の階層に、CISO等を任命している(N=223) CISO等を任命していない(N=94) 経営層としてCISO等を任命している(N=223) 経営層よりも下の階層に、CISO等を任命している(N=236) CISO等を任命していない(N=61) 日本 米国 欧州 定量的評価を実施している 定性的評価を実施している 定量的・定性的評価ともに実施している 評価を実施していない

(32)

図 3.2-4 経営層の情報セキュリティに対する認識 経営層の関与状況について CISO 等の設置状況別にみると、CISO 等を設置している企業のほう が「会議等があり、情報セキュリティ関する意思決定の場として機能している」と回答している 割合が高い。特に、「経営層として CISO 等を任命している」企業ではその割合が、日本は 89.3%、 米国は 77.4%、欧州は 78.0%と高い(図 3.2-5 参照)。 一方、CISO 等を任命していない企業では、「会議等があるが、情報セキュリティに関する意思 決定の場としては機能していない」・「経営層が、自社の情報セキュリティリスクや対策を審議す る機会がない」と回答する割合が高い。つまり、CISO 等が任命されていない企業では、経営層が 自社の情報セキュリティに対しあまり関与していないと考えられる。 66.0 62.9 59.1 20.4 34.3 37.2 13.6 2.8 3.7 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 会議等があり、情報セキュリティに関する意思決定の場として機能している 会議等があるが、情報セキュリティに関する意思決定の場としては機能していない 経営層が、自社の情報セキュリティリスクや対策を審議する機会がない 89.3 68.6 37.3 77.4 58.3 39.4 78.0 49.6 36.1 7.1 27.5 33.3 21.0 40.8 54.3 20.2 49.2 49.2 3.6 3.9 29.3 1.6 0.9 6.4 1.8 1.3 14.8 0 % 20 % 40 % 60 % 80 % 100 % 経営層としてCISO等を任命している(N=225) 経営層よりも下の階層に、CISO等を任命している(N=153) CISO等を任命していない(N=150) 経営層としてCISO等を任命している(N=248) 経営層よりも下の階層に、CISO等を任命している(N=223) CISO等を任命していない(N=94) 経営層としてCISO等を任命している(N=223) 経営層よりも下の階層に、CISO等を任命している(N=236) CISO等を任命していない(N=61) 日本 米国 欧州 会議等があり、情報セキュリティに関する意思決定の場として機能している 会議等があるが、情報セキュリティに関する意思決定の場としては機能していない 経営層が、自社の情報セキュリティリスクや対策を審議する機会がない

(33)

自社拠点のセキュリティ対策把握状況 自社の国内外の拠点に関して、セキュリティ対策の状況をどの程度把握できているか確認した ところ、「十分コントロールできている」・「一部コントロールできている」を合計した割合は日米 欧ともに 8 割を超えている(図 3.2-6 参照)。一方、海外拠点に関しては「十分コントロールでき ている」・「一部コントロールできている」を合計した割合は、日米欧とも 7 割前後に低下し、「確 認しているがコントロールできていない」の割合が高まっている。特に日本は「十分コントロー ルできている」とする割合が低い(図 3.2-7 参照)。 これらのことから、日米欧とも、国内拠点に関してはセキュリティ対策状況を把握できている が、海外拠点に関しては十分把握できておらず、コントロールが難しい状況があると考えられる。 図 3.2-6 国内拠点のセキュリティ対策把握状況 図 3.2-7 海外拠点(系列会社を含む)の情報セキュリティ対策の確認状況 (海外拠点なしを除く) 委託先のセキュリティ対策把握状況 業務委託先のセキュリティ対策把握状況については、「十分確認できている」・「ある程度確認で 56.0 62.0 53.9 29.1 20.6 29.4 6.8 8.7 8.9 2.2 1.7 1.3 0.3 2.5 1.3 5.6 4.5 5.2 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 十分コントロールできている 一部コントロールできている 確認しているがコントロールできていない 確認していない 拠点なし わからない 22.2 37.6 35.7 41.5 31.1 38.6 17.8 15.2 14.1 6.4 4.8 3.0 12.1 11.3 8.6 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=405) 米国(N=415) 欧州(N=440) 十分コントロールできている 一部コントロールできている 確認しているがコントロールできていない 確認していない わからない

(34)

きている」の回答割合の合計を見ると、日米欧いずれも 7 割以上を占めている。したがって、日 米欧ともに業務委託先のセキュリティ対策状況をある程度把握できていると考えられる(図 3.2-8 参照)。 図 3.2-8 業務委託先のセキュリティ対策把握状況 次に、物品調達先のセキュリティ対策状況について、「十分確認できている」・「ある程度確認で きている」の回答割合の合計は日米欧ともに 6 割程度にとどまり、業務委託先と比べ、十分に把 握できていないことがわかる(図 3.2-9 参照)。 図 3.2-9 物品調達先のセキュリティ対策把握状況 情報開示の実施状況 情報セキュリティポリシー等の平時の情報開示については、日本は情報セキュリティポリシー または情報セキュリティ上のリスクを公表している割合が 75.6%と米欧に比べて高い(図 3.2-10 28.4 42.8 37.2 49.5 31.3 38.1 7.8 11.0 12.2 4.4 3.3 3.9 3.7 4.7 2.4 6.1 6.9 6.1 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 十分確認できている ある程度確認できている ほとんど確認できていない 確認していない 委託・調達していない わからない 20.6 35.5 31.7 44.2 33.9 36.7 15.5 12.9 16.3 6.1 5.9 5.6 6.0 4.5 4.1 7.7 7.4 5.7 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 十分確認できている ある程度確認できている ほとんど確認できていない 確認していない 委託・調達していない わからない

(35)

米欧では、「いずれも公表していない」の割合が米国で 23.9%、欧州で 30.4%となっており、日 本に比べ平時の情報開示を実施していないことがわかる。情報開示を実施していない理由につい ては、日米欧ともに「開示義務がない」をあげる回答が多かったが、米欧では「自社のセキュリ ティやリスクの情報を開示したくない」との回答が多い(図 3.2-11 参照)。 図 3.2-10 平時の情報開示 図 3.2-11 情報開示を実施しない理由 平時の情報開示実施状況に関して CISO 等設置状況別にみると、CISO 等を任命している企業で は、情報セキュリティポリシーまたは情報セキュリティ上のリスクを開示している割合が高い。 CISO 等を任命していない企業では、「いずれも公表していない」の回答が日米で 3 割以上、欧州 では 57.4%となっており、CISO 等を任命している企業ほど情報開示に取り組んでいることがわか る(図 3.2-12 参照)。 38.4 35.6 23.5 33.3 20.2 25.6 3.9 7.5 14.1 16.3 23.9 30.4 8.0 12.7 6.5 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) 情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している 情報セキュリティポリシーのみ公表している 情報セキュリティ上のリスクのみ公表している いずれも公表していない わからない 64.6 21.9 18.8 13.5 0.0 66.4 25.9 46.2 2.8 0.0 56.7 18.3 50.0 4.3 0.0 0 % 20 % 40 % 60 % 80 % 開示義務がない 投資家等のステークホルダーからの開示要請がない 自社のセキュリティやリスクの情報を開示したくない 開示したいと考えているが、そのためのリソース(人員・ 予算・時間等)が不足している その他 日本(N=96) 米国(N=143) 欧州(N=164)

(36)

図 3.2-12 平時の情報開示(CISO 等設置状況別) インシデント発生時の情報開示基準の策定状況については、「インシデント発生時に対外的に情 報を開示する基準を定めている」と回答した割合は、日本が 47.1%、米国は 43.8%、欧州は 39.1% となっている(図 3.2-13 参照)。 図 3.2-13 インシデント発生時の情報公開基準の策定 インシデント発生時の情報開示基準の策定状況について CISO 等設置状況別にみると、「経営層 として CISO 等を任命している」企業では「インシデント発生時に対外的に情報を開示する基準 を定めている」割合が、日米で 6 割以上、欧州で約 5 割と高い。また、「経営層よりも下の階層に、 57.8 35.9 20.7 50.0 31.4 13.8 36.3 17.8 3.3 27.6 45.8 36.0 14.1 26.9 24.5 21.1 33.9 16.4 2.2 3.3 6.0 5.2 9.0 12.8 10.3 17.4 18.0 6.7 11.8 34.0 19.4 24.7 38.3 26.9 26.7 57.4 5.8 3.3 3.3 11.3 8.1 10.6 5.4 4.2 4.9 0 % 20 % 40 % 60 % 80 % 100 % 経営層としてCISO等を任命している(N=225) 経営層よりも下の階層に、CISO等を任命している (N=153) CISO等を任命していない(N=150) 経営層としてCISO等を任命している(N=248) 経営層よりも下の階層に、CISO等を任命している (N=223) CISO等を任命していない(N=94) 経営層としてCISO等を任命している(N=223) 経営層よりも下の階層に、CISO等を任命している (N=236) CISO等を任命していない(N=61) 日本 米国 欧州 情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している 情報セキュリティポリシーのみ公表している 情報セキュリティ上のリスクのみ公表している いずれも公表していない わからない 47.1 43.8 39.1 23.6 31.8 35.9 16.3 14.0 18.1 12.9 10.4 6.9 0 % 20 % 40 % 60 % 80 % 100 % 日本(N=588) 米国(N=598) 欧州(N=540) インシデント発生時に対外的に情報を公開する基準を定めている インシデント発生時に対外的に情報を公開する基準を現在検討中である インシデント発生時に対外的に情報を公開する基準を定めていない わからない

図 3.1-4   CISO 等の設置状況  図 3.1-5   CISO 等の設置状況(業種別)  経営層・CISO 等と CSIRT の関係  CISO 等が直接または間接的に CSIRT の指揮・監督を行っている企業が 59.7%となり、何らか の形で CISO 等と CSIRT の関係が構築されている状況がうかがえる(図  3.1-6 参照) 。  さらに、業種別にみると、 「製造業」においては CISO 等が直接的に、 「情報通信業」においては CISO 等が間接的に、 「金融・保険業」においては
図 3.1-6   CISO 等と CSIRT の関係  図 3.1-7   CISO 等と CSIRT の関係(業種別)  また、経営層と CSIRT の関係に関しては、回答企業の 64.2%で、定期/非定期の経営層による CSIRT の評価を実施している(図  3.1-8 参照) 。その内 83.8%の企業では、評価結果が CSIRT の活 動の改善に反映されているとし、経営層と CSIRT の間で活動の評価・改善の流れが構築されてい る(図  3.1-9 参照) 。  37.3%13.4%22.4%1
図 3.1-8  経営層による CSIRT 活動の評価  図 3.1-9  経営層による CSIRT 活動の評価に基づく改善の実施  組織における CSIRT の位置づけ  回答企業のうち、2 年以内に設置された CSIRT が 65.6%を占めており、CSIRT の設置が急速に 進んでいる状況がうかがえる(図  3.1-10 参照) 。特に、金融・保険業において設置してから日の浅 い組織が多い(図  3.1-11 参照) 。 2015 年 2 月の金融庁ガイドライン( 「主要行向けの総合的な監督 指針」及
図 3.1-10  CSIRT 設置期間  図 3.1-11  CSIRT 設置期間(業種別)  回答企業の CSIRT の組織的位置づけとしては、 「情報システム部門内」 (37.3%) 、 「経営層直属 の独立組織」 (10.4%) 、 「事業部門内」 (10.4%) 、 「経営企画・リスク管理部門内」 (9.0%)の順に 多い。 「その他」 (25.4%)の回答としては、情報セキュリティ部門内や部門・全社横断的な仮想的 な組織として活動している等の回答が複数挙げられている(図  3.1-12 参照)
+7

参照

関連したドキュメント

「必要性を感じない」も大企業と比べ 4.8 ポイント高い。中小企業からは、 「事業のほぼ 7 割が下

本文書の目的は、 Allbirds の製品におけるカーボンフットプリントの計算方法、前提条件、デー タソース、および今後の改善点の概要を提供し、より詳細な情報を共有することです。

本案における複数の放送対象地域における放送番組の

調査対象について図−5に示す考え方に基づき選定した結果、 実用炉則に定める記 録 に係る記録項目の数は延べ約 620 項目、 実用炉則に定める定期報告書

  憔業者意識 ・経営の低迷 ・経営改善対策.

(2)工場等廃止時の調査  ア  調査報告期限  イ  調査義務者  ウ  調査対象地  エ  汚染状況調査の方法  オ 

告—欧米豪の法制度と対比においてー』 , 知的財産の適切な保護に関する調査研究 ,2008,II-1 頁による。.. え ,

★分割によりその調査手法や評価が全体を対象とした 場合と変わることがないように調査計画を立案する必要 がある。..