企業活動におけるIT活用の広がりは、言い換えれば、情報セキュリティに関するリスクの高まりを意味します。ITが事業の拡張やグローバル化に寄与するにつれ、セキュリティインシデントによる事業活動の停止等の影響は増大します。こうした状況を考えると、情報セキュリティ対策は現場レベルの対応では追いつかなくなっており、経営層が情報セキュリティのリスクを認識し、積極的に取り組む姿勢が重要であることは様々なところで言われています。
こうした考えのもと、独立行政法人情報処理推進機構(IPA)では経営者の情報セキュリティに対する関与状況や企業の組織的な対策状況についての現状を把握するため、日米欧の企業を対象とした実態調査を毎年行っています。先日、最新の報告書が発表されたので、今回はその内容を確認し、企業としてどのように情報セキュリティに取り組んでいくべきか、検討することとします。

1.CISOの設置状況と経営との関わり

CISO(Chief Information Security Officer)等、企業の情報セキュリティ対策を担う責任者の設置状況について、欧米は8割以上の企業がCISO等を設置しているのに比べ、日本では6割程度の企業しかCISOを設置していませんでした。また米国企業の8割弱、欧州企業の7割弱が専任のCISO等を設置しているのに対して、専任CISOを設置する日本企業は3割にも満たない状況です。
CISO等設置状況

CISOの組織内での位置付けを確認すると、米国企業の8割以上、欧州企業の7割以上が経営層と直接関係していますが、日本企業では経営層と直接関連する位置付けにあるCISO等は全体の6割程度であり、どちらかと言えば経営層ではなく、IT部門で対応することが妥当であると考える企業が多いと考えられます。
CISO等の組織内の位置付け

また、経営層が参画する情報セキュリティ関連の会議等の有無について確認したところ、欧米企業のほとんどは情報セキュリティ会議に経営層が参画し、その大半の企業では意思決定の場として機能していますが、日本企業では会議体は8割程度の企業しか設置されず、そのうち意思決定まで行われるのは約7割程度でした。
経営層が参画する、情報セキュリティに関する会議等の有無

以上から、多くの欧米企業では経営層が情報セキュリティは経営上の大きなリスク要因であることを認識し、経営層が直接関与する体制を敷き、意思決定を行っていますが、日本では経営層の情報セキュリティに対する意識は欧米企業に比べて低く、経営層が積極的に関与し、意思決定を行う体制も不十分であると考えられます。別の調査結果から、CISO等が設置されていない日本企業の半数以上が、経営層から経営上のリスクの 1 として情報セキュリティがあるという説明を受けていないということでした。

2.業務委託先におけるセキュリティ対策の把握状況

自社のセキュリティ状況を把握する際に見落としがちなのが、業務委託先の状況です。情報漏えいや内部不正などのセキュリティ事故も業務委託先でも多く発生しています。業務委託先は自社業務プロセスの一部を構成するため、自社のセキュリティレベルと同等以上のセキュリティ対策を要請し、その状況をチェックする必要があります。
業務委託先のセキュリティ対策の把握状況を確認したところ、欧米企業の半数以上は十分に確認しているという回答でしたが、日本企業では約1/3程度しかありませんでした。
業務委託先のセキュリティ対策把握状況

業務委託先のセキュリティ対策の把握方法について確認したところ、日米の企業の6割前後が、委託先等に自主点検の実施と報告を依頼しています。また、日米欧で4割以上の企業が業務委託先に直接監査を行っています。契約レベルで実施用強雨を行う企業は日米欧共に3割前後の企業にとどまっており、直接・間接的な確認を行う傾向にあることが確認できます。
業務委託先の対策状況の確認方法

以上から、日本企業は欧米企業に比べて委託先のセキュリティ対策を把握する意識が若干低いように見えますが、実際にセキュリティ対策を把握する手段については日米欧で大きな地域差は見受けられません。

3.セキュリティ投資の状況

日米欧のセキュリティ投資額を比較すると、米国は全体的にセキュリティ投資額が高い傾向を示しています。米国、欧州では年間50億円以上のセキュリティ投資を行う企業もかなり存在する一方、日本は年間1千万円以下のセキュリティ投資しか行わない企業が3割弱を占めます。業容や企業規模等にも依存するため、一概には言えませんが、日本企業は欧米に比べてセキュリティ投資が低い印象を受けます。
セキュリティ投資額

次に、セキュリティ投資に対する評価状況について確認したところ、米国、欧州では約半数の企業が定量的・定性的評価を行っていますが、日本では1/4以上の企業がセキュリティ投資評価を行っていないという結果でした。
セキュリティ投資評価実施状況

この結果をCISO等の設置状況と関連させると、欧米ではCISO設置企業のほとんど、未設置企業の9割前後が何らかのセキュリティ投資評価を行っていますが、日本ではCISO未設置の企業の約半数がセキュリティ投資評価を行っていませんでした。つまり、日本ではセキュリティ投資金額も全体的に低く、かつその実効性を評価という形で捉えている企業の割合も低いという結果となっております。

セキュリティ投資評価を行っている企業に対して評価の観点を確認したところ、主な評価観点については日米欧で大きな差異は見られませんでした。特徴的なのが、米国においては約半数の企業が「企業・ブランド価値の向上」と回答しています。つまり、米国ではセキュリティ対策をしっかりと行うことで消費者に対するアピールになると考える企業が多いことだと考えられます。
セキュリティ投資評価の観点

以上から、日本企業は欧米企業に比べてセキュリティ投資レベル、投資評価の実施状況どちらも低い傾向にある状況です。しかし、実施内容については日米欧で大きな差異は見られないと考えられます。

4.セキュリティ対応組織やCSIRTの状況

情報セキュリティ対策の対応を行う体制について日米欧の企業で確認したところ、米国企業の約7割が「専門部署(担当者)がある」という回答でした。一方、日本企業では「組織はない」「分からない」と回答した企業が2割弱もあり、セキュリティ対策に対する意識の低さがここにも表れています。
セキュリティ対応体制

セキュリティ人材の量的、質的な充足度についても確認したところ、欧米企業は量的には7割、質的には半数以上の企業が「十分である」と回答する一方で、日本企業は量・質ともに「十分である」と回答した企業が3割前後しかありませんでした。また、CISO等とセキュリティ担当者との意識も欧米企業ではほぼ一致した回答である一方、日本企業の場合はCISO等と現場担当者に意識の乖離が見られるのが特徴的でした。
日本企業における情報セキュリティ担当者の量的・質的不足に関して、別のアンケート調査からは「本業が忙しく、情報セキュリティにまで人材が割けない」「業務繁忙のため教育やトレーニングを行う余裕がない」といった理由が上位を占めていたということです。つまり、本業優先、情報セキュリティは二の次、またはそれ以降、という考えです。しかしながら、情報セキュリティも本業を支える要素の一つであり、情報セキュリティを疎かにすることで本業での成果が一気に吹っ飛ぶこともあり得ます。もちろん、リソースには限りがあり、どう配分するかはそれぞれの企業の事情もありますが、業務優先の要素の一つに情報セキュリティも含まれることは認識する必要があると考えます。

最近、CSIRT(Computer Security Incident Response Team)と呼ばれる組織のことがよく話題になります。CSIRTとは、情報セキュリティに関わるインシデント(情報セキュリティを脅かす可能性のある事象)に対処するための組織です。インシデント関連情報、脆弱性情報、攻撃予兆情報、等を常に収集、分析し、対応方針や手順の策定などを行います。
そのCSIRTの設置状況を確認したところ、米国では9割以上の企業がCSIRT、または類似する組織を有する一方で、日本企業の3割以上はCSIRT等の組織を持たないという結果となっています。
CSIRT等設置状況

この結果をCISO等の設置状況と関連させると、CISOを設置していない日本企業、欧州企業の6割以上がCSIRT等を設置していないという結果となっていました。つまり、情報セキュリティを統括する責任者を設置していない企業の多くが、情報セキュリティの事故等に対して専任で対処する組織を持たないことを示しており、情報セキュリティに対する関心の低さを提示するものだと考えます。

CSIRT設置企業にその有効性について確認したところ、米国企業では6割、欧州企業では5割弱が期待レベルにあると回答する一方、日本企業では2割を切る状況でした。また、欧米企業の9割前後がCSIRTに対して前向きな評価を与えている一方で、日本企業は75%程度であり、日本企業のCSIRTに対する満足感は低い状況となっています。
CSIRT等の有効性の全体評価
CSIRT等の有効性を左右する要素として、日米欧すべての地域で「能力・スキルのある人員の確保」を挙げる企業が多いという結果が出ています。これは裏を返せば、日本企業の満足度の低さは能力やスキルを有する人員の不足からくると推測され、先に述べたセキュリティ人材の量的、質的不足と関連していると考えられます。

調査結果に基づく考察

以上、調査結果の一部を紹介しましたが、その結果から、情報セキュリティに関して日本企業の多くが抱える課題等について確認します。

(1)経営層の情報セキュリティに対する関心の低さ
CISOの設置状況を見ると、米国企業は9割以上、欧州企業は8割以上がCISOを設置しており、しかも大半が専任です。一方、CISOを設置する日本企業は6割程度でしかなく、しかもその半数以上は兼任です。そしてその後の質問から、専任CISO、兼任CISO、CISO未設置という順で情報セキュリティに対する諸施策の充実度が変化していることが明確です。また、CISOに限らず、英語由来のCxOの”O”はOfficer、つまり役員を指すことが多いのですが、日本企業のCISOで経営層、または経営層直下となっているのはおよそ6割に過ぎません。このことから、多くの日本企業では情報セキュリティは経営課題として経営層が直接関与して管理するというよりも、IT部門等の現場で対処するものだと認識されているようです。しかし、サイバー攻撃等、情報セキュリティに関わる課題はもはや現場の改善プロセスでは対応しきれません。また、リスクが顕在化した際の影響は全社、さらには取引先や社会全体にも波及します。IT部門等に任せきりにする経営層の大半はITに不案内だから、という理由を言い訳にするのですが、「ITがよく分からない」経営者でも、情報セキュリティの必要性やリスクは理解できるでしょう。経営レベルで情報セキュリティに対する課題の重要性を認識した上で、経営課題の一つとして常に情報セキュリティ関わる状況を把握し、経営判断として適切にリソースを分配し、対処することが必要だと考えます。

(2)委託先の情報セキュリティに対する関心の低さ
業務委託先のセキュリティ対策に関して、日本企業は約1/3程度しか十分に把握しておらず、欧米企業に比べて低い状況でした。業務委託先に由来する情報セキュリティ事故は非常に多く発生しています。上場企業等は内部統制報告制度において委託先のプロセスも自社プロセスの一部であると認識しているとは思いますが、当該制度の対象は企業全体のプロセスの一部に過ぎず、顧客等の情報漏えいに関しては監査の範囲外とされています。もし業務委託先で情報セキュリティ上の事故が発生した場合、顧客に対して謝罪するのは委託先の業者ではなく、委託元企業です。少なくとも委託業務で取り扱う情報のレベルに応じたセキュリティレベルを委託先に求め、チェックすることが必要です。以前からの委託先の場合、こうしたセキュリティ状況の確認や監査といった要求を行うことは難しいかもしれませんが、委託元企業が主導的に委託先のセキュリティ教育等を啓蒙することが重要になると考えられます。

(3)セキュリティ投資の成果に対する関心の低さ
セキュリティ投資額については企業規模や業容にも依存するので単純比較はできませんが、各企業は相応の投資を行っています。こうした多額のセキュリティ投資に対する評価の実施状況は欧米企業に比べて日本企業は低い割合です。特に、CISOを設置していない日本企業の半数以上がセキュリティ投資評価を行っていないという結果でした。セキュリティ評価については確かにどのような指標で効果を測定するかは難しい判断になります。しかし、セキュリティ投資評価を行っていないということは、現状のセキュリティ施策が妥当かどうか、自社のどこにセキュリティリスクがあるのか、といったことを体系的に確認していないことと同義です。経営層は自らが判断した投資に対する評価に関心を持つべきであり、一方で投資内容を実施する現場部門も効果的、効率的な業務を実施する上で定期的な評価を行うべきであると考えます。

(4)セキュリティ人材や対応組織等に対する関心の低さ
日本企業では欧米企業に比べセキュリティ人材の量、質ともに不足していると考えられていますが、より大きな問題は、CISO等は人材が充足していると考える一方で、現場の担当者は不足していると感じる割が高く、ここでも経営層と現場との意識の乖離が見られることです。
CSIRTの設置状況についても、日本企業は欧米企業に比べて低い状況です。また、前年調査と比較すると、欧米企業ではCSIRT設置の割合が高くなる一方で、日本企業の場合はわずかですが減少傾向を示したことです。これはCSIRTの有効性が低いと感じる日本企業が多いことと関連すると思われます。CSIRTが有効に機能するには能力のある人材の確保が必要ですが、調査結果から考えると、日本企業では有能な人材が不足しているため成果が出ないことを示しています。また、情報セキュリティ担当者が量、質ともに充足していると考えるCISO等の認識にも課題があるように感じられます。

日本企業の場合、IT領域については外注化が進んでいるため、情報セキュリティに関しても有能な人材を確保し、育成することが難しく、結局のところ外部委託先に依存してしまうということにも原因があると考えられます。以前、海外企業のセキュリティ担当者の話を聞く機会があったのですが、その際に「情報セキュリティは企業の機密事項なのに、それを外部委託に任せているのは考えられない」という発言がありました。技術面でのサポートについては外部委託も活用することもありますが、コアになる人材は自社の人間が対応しなければなりません。こうしたコア人材はインシデントの対処を判断する立場にもあるため、情報セキュリティの知識と同様に業務への影響や対応策も検討できる人材である必要があります。つまり、テクノロジーと自社の業務内容の両方を理解できる人材がキーとなります。経営層はこうした状況を認識した上で、情報セキュリティに関する活動をサポートし、チェックする必要があると考えます。

参考
独立行政法人情報処理推進機構(IPA)
「企業のCISOやCSIRTに関する実態調査2017」報告書について

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは情報セキュリティ全般にわたっての
・脆弱生の可能性を確認する簡易診断
・情報セキュリティに関する現状評価や見直し支援、ルール等の作成支援
・情報セキュリティに関する研修や訓練等の支援
等のコンサルティングサービスを提供しております。
詳細は、こちらのページをご確認ください。
==>「情報セキュリティ対策支援サービス
興味や関心がございましたら、ぜひご連絡ください。

お問い合わせ