進まないCSIRT、設置予定なしが4割にも

世界規模でランサムウェアが猛威をふるったのは記憶に新しいが、そうした有事に指令塔として機能するCSIRTの設置が進んでいないことが分かった。

[浅井英二，ITmedia]

「CSIRTを設置していますか？」（クリックで拡大）

　サイバーセキュリティの確保が優先度の高い経営課題として認識されつつあるものの、いざという時に指令塔として機能する「CSIRT」（Computer Security Incident Response Team）を実際に設置している企業が2割弱にとどまっていることが明らかになった。設置予定がない企業も4割に達している。

　また、サイバーセキュリティの管理体制構築をリードすべき「CISO」や情報セキュリティ責任者を置いている企業は7割に達しているものの、情報システムやリスク管理を担当したことがない取締役や執行役員を任命している企業が4割もあるという。

　KPMGコンサルティングは6月26日、「KPMGサイバーセキュリティサーベイ 2017」の調査結果を発表した。売上高500億円以上の国内企業を対象とし、この4月から5月にかけて実施、457件の回答を得たものだ。

　経済産業省は2015年12月に「サイバーセキュリティ経営ガイドライン」を公表、経営層がサイバーセキュリティリスクを認識し、CISOを置いてトップダウンでサイバーセキュリティ対策を推進していくことを求めている。CISOには、専門知識に加え、事業への理解があり、経営層と情報セキュリティ部門の橋渡し役になることが期待されているが、今回の調査では、CSIRTをはじめとする有事の体制構築が進んでいない現状が浮き彫りになった。

　KPMGコンサルティングでサイバーセキュリティ分野を統括する田口篤パートナーは、「サイバーセキュリティ対策は組織および人的な課題であるという認識は深まっているが、実際にはまだまだITによる対策の域を超えていない」と指摘する。

　サイバー攻撃を受けると、被害を最小限に抑え込むため、インターネット接続を遮断しなければならない場合もあるが、半数以上の企業が、遮断時の判断基準や意思決定の手順を策定していない。また、7割の企業が遮断が数日間に及んだ際の事業への影響や損害規模を把握できていないほか、その際にも事業を維持していく手段を確保していないという。

　今回の調査を担当した平野宜敬シニアマネジャーは、「サイバーセキュリティ対策では、予算不足、人材不足が課題としてしばしば指摘されるが、まずは経営層が現状を理解したうえで対策のあるべき姿を描き、情報システム部門と密に情報交換できる関係を築くことが重要だ」と話す。