企業に定着するCISO/CSIRT、実情と今後の課題とは
サイバー攻撃を受け、顧客データ等を流出させる被害に遭った場合、顧客はもちろん、株主や関係企業など各ステークホルダーに大きな影響を及ぼし、結果的に自社が企業として受ける被害は甚大なものになります。2015年において、個人情報漏洩インシデントを通じた年間想定損害賠償総額は2500億円を超えたとのデータもあり[1]、セキュリティ対策が経営層にとってトップレベルのプライオリティになることは明らかです。
最近では企業の最高情報セキュリティ責任者であるCISO(シーアイエスオー/Chief Information Security Officer)やインシデントに対処する組織CSIRT(シーサート/Computer Security Incident Response Team)を設置する企業も多くなりました。実際に情報処理推進機構(IPA)が今月発表した「企業のCISOやCSIRTに関する実態調査2017」によると、日本企業でも62.6%の企業がCISOを設置しており、セキュリティ対策への意識が高まっていることがうかがえます。しかしこの数字は欧米諸国と比べると決して高いとは言えません。欧州では84.6%、米国では実に95.2%の企業がCISOを設置していると回答しているのです。
さらに専任のCISOの設置率になると、日本は27.9%と3割に満たず、米国の78.7%、欧州の67.1%と比べて大きな差がついていることが分かります。
(出典:IPA「企業のCISOやCSIRTに関する実態調査2017」)
そして、より問題となるのはその成果。同調査によると日本企業では、CSIRTを設置したことによる有効性について「期待したレベルを満たしている」と回答したのは、わずか18.4%でした。米国が6割を超えていることを考えると、十分な成果を得られているとは言い難いのが現状です。
(出典:IPA「企業のCISOやCSIRTに関する実態調査2017」)
さらに経営層との関りについても、課題が残ります。CISOが「経営層との橋渡し」としての役割を担うことを重視していると回答したのはわずか17.9%。「事業目的との整合」も14.3%で、「IT導入におけるセキュリティ上の助言」にいたっては6.0%と非常に低い数値に留まっています。
(出典:IPA「企業のCISOやCSIRTに関する実態調査2017」)
今後の期待値も「経営層との橋渡し(18.2%)」「事業目標との整合(21.8%)」「IT導入におけるセキュリティ上の助言(4.4%)」と低く、CISOのポジションと経営層の距離にまだまだ隔たりがある様子がうかがえます。
日本年金機構や大手企業の情報漏えいがメディアでも大きく取り上げられる中、形状的にはCISOを設置し有事への備えを始めた企業は多いものの、実情は他職務との兼任で、事前の備えという点で成果を実感している企業が少ないと言えそうです。
昨年のIPAが行った同調査によると、CISOが任命されている企業では、セキュリティ対策の推進状況が、CISOが任命されていない企業に比べ2倍の数値を示しており、CISO自体がセキュリティ対策に有効なことは証明されています。
(出典:IPA「企業のCISOやCSIRTに関する実態調査2016」)
今後は、専任のCISOやCSIRTの設置を含め、企業の専門機関の実質的な充実を進め、ノウハウを蓄積し強い機関に育てるとともに、経営層がセキュリティ対策に積極的に介入し先導することが課題となりそうです。
(文/星野みゆき 画像/© leowolfert – Fotolia)
[1] 日本ネットワークセキュリティ協会. (2015). 2015年 情報セキュリティインシデントに関する調査報告書[2] 情報処理推進機構(IPA). (2017). 「企業のCISOやCSIRTに関する実態調査2017」報告書について