［データは語る］社内CSIRTが「期待したレベルを満たしている」日本企業は14％、欧米は約半数が満足──IPA

　IPA（情報処理推進機構）は2016年5月10日、企業のCISO（最高情報セキュリティ責任者）やCSIRTに関する調査結果を発表した。この調査では、日・米・欧の従業員300人以上の企業を対象にアンケートを実施した。

　それによると、社内に設置したCSIRTが「期待したレベルを満たしている」と回答した割合は米国45.3％、欧州48.8％に対し、日本は14％にとどまった。一方、CSIRTなどの有効性を左右する最大の要素として「能力・スキルのある人員の確保」と回答した割合は、日本が73.3％と最多で、米国56.8％や欧州54.2％と比べ2割程度多いことが明らかになった。

　IPAは、CISOと情報セキュリティ対策の実施率についても調査した。その結果、CISOが経営層として任命されていると情報セキュリティ対策の実施率は高くなると分析。この傾向には日・米・欧の差異はないという（表）。

表●CISOの任命と情報セキュリティ対策推進状況の関係

出所：IPA

[画像のクリックで拡大表示]

　IPAは情報セキュリティ人材のスキル面などの質的充足度についても調査。それによると、質的充足が十分であると回答した日本の企業は25.2％に過ぎず、米国54.3％や欧州61.9％の半分以下だった。IPAでは、日本はCSIRTなどへの満足度や情報セキュリティ担当者の質的充足度が欧米に比べ低いと指摘。日本のCSIRTなどの期待レベルの向上には、能力・スキルのある人員の確保が特に重視されており、要求が厳しいことがうかがえるという。

　IPAでは、サイバー攻撃の経験についても調査した。それによると、日米欧とも50％以上の企業でサイバー攻撃の発生経験がなく、直近の会計年度にサイバー攻撃が発生していないと回答した日米欧の企業は50％以上に達したという。また、多くのCSIRTで実力は未知数だが、訓練・演習実施の機能が無いと回答したCSIRTは6割以上に達したという。