企業の知見やノウハウ不足がセキュリティ体制強化の足かせに（トレンドマイクロ）

トレンドマイクロは、「セキュリティ教育・組織体制に関する実態調査」の結果を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2014.9.1 Mon 17:27

トレンドマイクロ株式会社は9月1日、「セキュリティ教育・組織体制に関する実態調査」の結果を発表した。本調査は2014年6月、企業および官公庁自治体でITセキュリティに関与する1,234名を対象に実施したインターネット調査。調査結果によると、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT、ログ監視などで攻撃の早期発見を担当するSOCのいずれかを設立済みの組織は、回答者全体の5.6％にとどまった。

一方で、従業員1,000名以上の組織においては、12.8％がCSIRT・SOCのいずれかをすでに設立しており、約4分の1（25.3％）が今後設立予定と回答した。中堅規模以上の組織を中心に、万一のインシデント発生時も対応できる体制づくりを進めていることがわかった。一般社員のセキュリティ意識向上を目的とした取り組みの実施状況では、セキュリティに関する注意喚起は全体の69.8％が「実施している」と回答した一方で、社員向けのセキュリティ教育を実施しているとした回答者は全体の51.1％、サイバー攻撃を想定したなりすましメール訓練の演習を実施しているとした回答者は全体のわずか8.7％に留まった。

組織内でセキュリティを担当するセキュリティ人材のスキル向上の取り組みでは、社内で講習会を実施しているのは全体の38.7％、社外の講習会に参加しているのは26.6％であった。セキュリティ人材に対しても、サイバー攻撃を前提とした演習を実施している企業は10.0％のみで、「実施予定なし」とした回答者は全体の約7割にのぼった。演習の実施予定のない企業に対し理由を尋ねたところ、「社内のノウハウ不足」を挙げる回答者が最も多かった。セキュリティに関する知見や取り組み方に関する知識の不足が、セキュリティに関する体制を強化するうえでの足かせとなっていることが浮き彫りになったとしている。

《吉澤亨史（ Kouji Yoshizawa ）》