日本のセキュリティ体制は欧米と遜色なし、「高き理想」の状況も

セキュリティ担当役員やCSIRTの設置状況は日米欧であまり差がないものの、日本は欧米より要求が厳しいことが分かった。

[ITmedia]

　情報処理推進機構（IPA）は5月10日、日本と米国、欧州（英仏独）の企業のCISO（情報セキュリティ担当役員）やCSIRT（コンピュータセキュリティ事故対応チーム）の実態を調べた初めての報告書を公表した。

　それによると、CSIRT（および同等機能を持つ組織）の設置状況は日米欧とも7割前後に上る。また、CISOが経営層として任命されている企業では「情報セキュリティ関する意思決定の場がある」「リスク分析をしている」「サイバー攻撃の被害想定をしている」の実施率が日米欧とも2倍近く高い傾向にあった。

CISOの任命と対策推進状況の関係（出典：IPA）

　直近の会計年度でサイバー攻撃が発生していないとした企業は日米欧とも50％以上だった。CSIRT（および同等機能を持つ組織）がインシデント対応の訓練や演習を実施していないのは日米欧とも6割以上に達していた。

サイバー攻撃の発生状況（同）

　一方、CSIRTが「期待したレベルにある」という回答は米国で45.3％、欧州では48.8％に上ったが、日本は14.0％にとどまる。人材が充足しているとの回答も日本は25.3％なのに対し、米国では54.3％、欧州では61.9％と2倍以上の差があった。課題では3地域とも「能力・スキルのある人材の確保」がトップだったが、回答割合は欧米が5割強なのに対し、日本では7割以上の企業が挙げていた。

CSIRTに対する評価（同）

セキュリティ担当者の質的充足度（同）

　セキュリティポリシーやリスク評価を開示（両方もしくはいずれかの合計）しているのは、日本が75.6％、米国では63.3％、欧州では63.2％だった。「開示したくない」という非開示企業は欧米では5割近くある一方、日本は2割に満たなかった。

開示しない理由（同）

　日本と欧米でみられた傾向の違いについてIPAは、「日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べて低く、期待レベルの向上には能力・スキルのある人員の確保が特に重視され、要求が厳しい」と分析。また、欧米がセキュリティポリシーやリスク評価の開示に後ろ向きな理由は、「開示が、例えば、攻撃者に有利な情報になりうることを懸念し、判断していると考えられる」という。

　調査は300人以上の企業のCISOとITやセキュリティ責任者、担当者を対象に、2015年12月に実施したしたもの。有効回答とは日本が588件、米国が598件、欧州3カ国が540件だった。