クライアントセキュリティ サーバセキュリティ ゲートウェイセキュリティ メールセキュリティ ウイルス対策 標的型攻撃対策 IDS/IPS ファイアウォール WAF UTM フィルタリング データ保護 アクセス管理 SSO ワンタイムパスワード IRM 情報漏えい対策 暗号化 脆弱性診断 その他セキュリティ 情報処理推進機構

経営層にセキュリティ担当者がいる組織では対策も実施--IPA調査

独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは5月10日、「企業のCISOやCSIRTに関する実態調査2016」報告書を公開した。

 独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは5月10日、「企業のCISOやCSIRTに関する実態調査2016」報告書を公開した。最高情報セキュリティ責任者(CISO)または同等の責任者が経営層にいる企業では、情報セキュリティ対策の実施率は高くなるという結果が出た。この傾向に日本、米国、欧州での差異は特にないという。

(IPA提供)
(IPA提供)

 CSIRTおよび同等組織の設置状況に日・米・欧の差はあまり見られないが、CSIRTが「期待したレベルを満たしている」と回答した割合は米国45.3%、欧州48.8%に対し日本は14%と、欧米の3分の1と大きく差が開く結果となった。日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低いことが分かる。

 CSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合は日本が73.3%と最多で、米国56.8%や欧州54.2%と比べ2割程度多い。また、情報セキュリティ人材のスキル面等の質的充足度が十分であると回答した日本の企業は25.2%と、米国54.3%や欧州61.9%の半分以下だった。

 IPAは、日本では現状に満足していない企業が多く、CSIRTなどへの期待レベルの向上には能力・スキルのある人員の確保が特に重視されており、要求が厳しいことがうかがえる指摘した。

サイバー攻撃発生経験

 直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50%以上、つまり日米欧とも50%以上の企業でサイバー攻撃の発生経験はなく、多くのCSIRTで実力は未知数となっている。また、設置されているCSIRTなどインシデント対応組織で訓練や演習を実施していると回答したのは日本33.4%、米国39.3%、欧州34.7%と、日米欧とも6割以上が実施していないことが分かった。

 IPAでは、新たなサイバー攻撃に直面することに備え、CSIRTでは訓練・演習を実施し、インシデント対応においてCSIRTが機能するか確認し、課題を把握しておくことが望まれるとしている。

「情報セキュリティポリシー」「セキュリティリスク」の公表意向

 「情報セキュリティポリシー」や「セキュリティリスク」の公表意向は、日本に比べ欧米は公表の意向が10ポイント以上少なく、日本と欧米との差が開いた。欧米では、セキュリティのポリシーやリスクの情報開示が、例えば、攻撃者に有利な情報になりうることを懸念し、開示しないと判断していると考えられるという。

 開示しない理由として、欧米は「自社のセキュリティやリスクの情報を開示したくない」と回答する割合が約半数(米国46.2%、欧州50.0%)であるのに対し、日本は18.8%であった。

 調査は、まず調査設計のため文献を調査し日本シーサート協議会会員向けに書面アンケート調査を実施。その結果を元に日本、米国、欧州の従業員300人以上の企業向けにウェブアンケートを実施し、さらにセキュリティ対策チーム(Computer Security Incident Response Team:CSIRT)やCISOを設置している企業を対象としてヒアリングを行った。ウェブアンケートではCISO、情報システム/セキュリティ担当部門の責任者及び担当者が対象で、得られた回答数は日本588件、米国598件、欧州540件(英195件、独205件、仏140件)。

関連記事

ホワイトペーパーランキング

  1. SQL Server 2017 AI Appliance で実現するビジネスの破壊的変革
  2. 【楽天・富士通 座談会抄録】ビジネスはデータドリブンの時代--DBの性能に限界を感じていませんか?
  3. 「情報通信白書」でわかった、テレワークの効果と課題
  4. 今後増加しそうな「名ばかり機械学習 セキュリティ」を見極める3条件--どれが欠けてもダメ
  5. 爆発的な量のデータを活かすには、AIのチカラが不可欠

編集部おすすめ

ピックアップ製品

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan