設置したCSIRTが「期待したレベルを満たしている」、日本では2割に満たず（IPA）

IPAは、日・米・欧の従業員数300名以上の企業のCISO、情報システム・セキュリティ担当部門の責任者および担当者を対象に実施した「企業のCISOやCSIRTに関する実態調査2017」の結果を発表した。

調査・レポート・白書調査・ホワイトペーパー

2017.4.14 Fri 8:00

独立行政法人情報処理推進機構（IPA）は4月13日、「企業のCISOやCSIRTに関する実態調査2017」の結果を発表した。同調査は2016年10月上旬～11月上旬、日・米・欧の従業員数300名以上の企業のCISO、情報システム・セキュリティ担当部門の責任者および担当者を対象にWebアンケートなどにより実施したもの。

調査結果によると、現在CISOに期待されている役割やスキルでは、「セキュリティ技術分析・評価（52.0％）」「セキュリティ目標・計画・予算の策定・評価（40.8％）」「リスク分析・評価（35.5％）」が上位を占め、「セキュリティ部門と経営層をつなぐ橋渡し」の役割は17.9％、「事業目標との整合」は14.3％など、セキュリティに偏重している状況が明らかになった。

また、CISOが任命されている組織の割合は、米国が95.2％、欧州が84.6％であるのに対し、日本は62.6％と20ポイント以上の差があった。さらに日本では専任のCISOより兼任のCISOが多い結果となっている（兼任CISOの割合：米国16.5％、欧州17.5％、日本34.7％）。CSIRTについては、「設置したCSIRTが期待を満たしている」と答えた割合は、米国は60.8％、欧州は45.4％であるのに対し、日本は18.4％と2割に満たなかった。

《吉澤亨史（ Kouji Yoshizawa ）》