目次

    経営課題のセキュリティ、CISOによる適切なリソース配分が鍵|NRIセキュア調査結果

    森 茉莉香
    2019年8月1日

    double exposure of businessman hand drawing virtual chart business on touch screen computer 当社で実施した「企業における情報セキュリティ実態調査2019」の結果を、先週よりテーマ毎に公開しています。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「セキュリティマネジメント」に関連した調査結果をまとめました。
     ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。

    • <調査概要>
       対象:日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
       回答企業数:計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
       ※以降、米:アメリカ、星:シンガポール を指す

    セキュリティの統括人材と予算割当の実態

     サイバー攻撃は年々高度化・複雑化し、セキュリティインシデント被害が企業存続に打撃を与えるほどにまで深刻化するケースも少なくありません。
     それ故に企業はセキュリティを経営課題として捉え、管理することが求められています。

     「セキュリティマネジメント」のテーマでは個々の対策ではなく、統括の目線で企業のセキュリティ管理の姿勢に焦点を充てます。

     

     まず、統括人材と予算の調査結果を見てみます。

     日本企業は米/星に比べるとセキュリティ統括人材の設置が進んでおらず、予算の割当も低いことがわかりました。

    セキュリティ統括人材の設置状況

    NRIセキュア-Insight2019-CISOを設置している企業とCISOの属性

    図:CISOを設置している企業とCISOの属性

     

     米/星の85%以上がCISOを設置している一方、日本は50%台の設置にとどまっています。

     念の為補足しておくと、CISO(Chef Infomation Security Officer)とは、最高情報セキュリティ責任者を指します。CISOは企業の情報セキュリティの統括管理を担い、セキュリティ対策に必要な予算獲得や施策推進を実施します。

     

     役割の内容からも分かる通り、CISOには経営層が就任することが多いです。「CISOに経営層が就任している割合」でいうと、日本は昨年と同程度の結果で、一見するとこの1年で大きな変化は見られませんでした。
    (もちろん調査対象数や回答時期の条件が異なりますので単純な経年比較はできませんが。)

    セキュリティ予算の割当

    NRIセキュア-Insight2019-IT関連予算に占めるセキュリティ予算の割合

    図:IT関連の予算に占めるセキュリティ予算の割合

     

     次にIT関連の予算に占めるセキュリティ予算の割合を国別に見てみると、10%以上をセキュリティに割り当てている企業で差が生じました。

     

    NRIセキュア-Insight2019-セキュリティ予算のうち新規対策にかける費用割合

     

    図:セキュリティ予算のうち、新規対策にかける費用割合

     

     さらに、セキュリティ予算のうち、新規対策にかける費用割合についても国別に見ると、図のように差が生じました。

     

     日本企業はセキュリティ対策にかける費用が米/星に比べて低く、新規対策にかける費用で見るとさらに差が広がることがわかります。

     

     また、報告書本編では、「CISO設置有無別の新規対策にかける割合」についても分析しています。
     どのような結果になったかは、報告書をダウンロードしてご覧ください。

     

     これらのことから、日本企業はCISOのように経営目線でセキュリティを統括管理する人材の設置率が低く、予算の割当も十分でないことから経営リソースをセキュリティに振り分けられていないことがわかります。

    経営課題であるセキュリティをGRCの観点で効率的に管理する

     では、セキュリティ人材不足や十分なセキュリティ予算の割当がない中で、効率的セキュリティを管理するためにはどうしたらよいのでしょうか。

     まず、調査で得られた3つの結果をご紹介します。

    GDPRの対応状況

     2018年5月に施行された欧州経済領域の個人データ保護を目的とした管理規則、「EU一般データ保護規則(GDPR)」への対応状況は以下のような結果が得られました。

     

    NRIセキュア-Insight2019-GDPRの対応状況

     

    図:GDPRの対応状況

     

     「対応不要」と回答した企業を除いて国別に比較すると、対応済、対応中・検討中の企業が米/星は70%以上であるのに対し、日本企業では25%程度にとどまりました。

     また、同程度25%の日本企業は「わからない」と回答しています。

     

     GDPR対応はデータ保護の観点など、セキュリティ対策と密接に関係しています。
     今回の調査対象である情報システム・セキュリティ担当者が対応状況を把握できていないことは、課題として捉えて日本企業は改善を図るべきではないでしょうか。

     

     規則違反として賠償責任が問われる事例も発生していますし、対応要否、対応状況については早急に確認が必要です。

     

    【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策

     

     また、報告書本編では、「CISO設置有無別のGDPRの対応状況」についても分析しています。
    どのような結果になったかは、報告書をダウンロードしてご覧ください。

    サイバー保険の加入状況

     サイバー保険サイバー攻撃による金銭的損失を補償する損害保険)の加入状況は以下のような結果が得られました。

     

    NRIセキュア-Insight2019-サイバー保険の加入状況

     

    図:サイバー保険の加入状況

     

     加入済み、加入予定のある企業を国別で見ると米/星ともに70%以上であるのに対し、日本では20%程度にとどまりました。

     米/星に比べると加入意向は低いですが、例年や昨年の結果から見ると加入増加傾向と言えるでしょう。

    (こちらも調査対象数や回答時期の条件が異なりますので単純な経年比較はできませんが。)

     

     いくらセキュリティ対策に投資しようとも、セキュリティリスクを”0”にすることはできません。
     保険へ加入することは、リスクをゼロにするために対策に投資し続けるのではなく、リスクを移転するための投資=“保険料”にスライドさせることです。

     

     経済産業省が策定・公開するサイバーセキュリティ経営ガイドラインV2.0においても、リスク移転の手段としてサイバー保険加入が有効であることは明記されています。
     是非、これを機にサイバー保険への加入を検討してみてはいかがでしょうか。

     

     報告書本編では、「サイバー保険へ加入した理由」についてのランキングも掲載しています。
     どのような結果になったかは、報告書をダウンロードしてご覧ください。

    セキュリティに係る戦略策定などに利用する参考ガイドライン

     国内外含め、セキュリティ対策の導入やセキュリティマネジメントにおいて参考となるフレームワークやガイドラインは多くあります。

     セキュリティに係る戦略策定や自社・グループ会社のルール・ガイドライン策定の際に利用するフレームワークについて調査しました。

     

    NRIセキュア-Insight2019-参考ガイドライン

     

    図:参考ガイドライン

     

     日本企業ではISOやサイバーセキュリティ経営ガイドラインが多く参照されている一方、ガイドラインを利用していない企業が約30%と一番多い結果となりました。

     また、米/星に比べてNIST Cyber Security FrameworkCIS Critical Security Controlsといったグローバルなガイドラインの利用が日本では進んでいません。

     

     これは項目数が多く全部を把握するのは大変、直訳された日本語がわかりにくいといった様々な理由が背景にあると考えられます。

     さらにそれぞれ技術寄り、マネジメント寄り、といった特徴があるのでシーンに応じた使い分けが求められますし、更新の度に最新の内容を把握する必要があるのでなかなか全てを取り入れるのは難しいでしょう。

     

     こういった日本企業が多く抱える課題はSecure SketCHの「ガイドラインチェック機能」で解決できます。

     Secure SketCHは企業のセキュリティ対策状況を評価するツールで、セキュリティ対策に関する質問に答えるとその場で結果が表示されるサービスです。
     「ガイドラインチェック」とはSecure SketCHで答えたセキュリティ対策状況から、他のガイドラインの対策項目へと自動で変換する機能のことです。

     

    Secure SketCHガイドラインチェック機能_全体
    図:Secure SketCH ガイドラインチェック機能のイメージ

     

     先程紹介したグローバルなガイドラインもNRIセキュアのコンサルタントが翻訳しており、もちろん内容が更新された際には合わせてアップデートされます。

     

     是非、グローバルなガイドラインを参考にする際は、一元管理可能なSecure SketCHの「ガイドラインチェック機能」をご活用ください!

     

    ▼ガイドラインチェック機能の紹介はこちらの資料からご覧いただけます。

    Secure SketCH STANDARDプラン紹介資料

    GRCの観点で見るセキュリティマネジメント

     GRCとはガバナンス・リスク・コンプライアンスの略で、これらを一気通貫で統合管理することで効率的なリスク管理を実現する、という概念のことです。

     先にご紹介した3つの調査結果はそれぞれ

     ・GDPR:コンプライアンス

     ・サイバー保険:リスク

     ・ガイドライン:ガバナンス

    の1要素を指しています。

     

     調査結果から、米/星に比べると日本企業はリスク管理の観点である「GRC」の施策をそれぞれ高度化できていないことがわかりました。

     これから対応を進める企業は個別ではなく、是非GRCの観点から統合的に対応を進めることを検討していただたいです。

    CISOのリーダーシップ発揮によるリソースの最適な配分

     「経営層が自社のセキュリティリスクと対策状況を把握したうえで、自社に必要な予算と人員構成を承認しているか」という問をCISO設置有無別に分析すると以下のような結果が得られました。

     

    NRIセキュア-Insight2019-日本企業におけるCCISO設置別の予算と人員の采配

     

    図:日本企業におけるCISO設置別の予算と人員の采配

     

     CISOを設置している企業の方が、その中でも経営層が就任している方が、CISO未設置の企業に比べて実施率が高いことがわかりました。

     このことからCISOがいることで予算確保の必要性を認識しやすくなり、効率的な予算と人材確保が可能になることが伺えます。

     

     日本企業は効率的なセキュリティマネジメントの第一歩として、CISOを設置し、経営リソースをセキュリティに振り分けることが求められています。そうすることでGRC(ガバナンス・リスク・コンプライアンス)の観点から統合的かつ効率的なセキュリティ管理が実現できるのではないでしょうか。

     

     以下の報告書では、本ブログ記事の内容に加えて、「デジタルセキュリティ」、「セキュリティ人材」、「セキュリティ対策」、「脅威・事故」編の詳細分析結果をまとめています。ぜひダウンロードしてみてください。

     

    新規CTA

    企業における情報セキュリティ実態調査2019

    01 デジタルセキュリティ編

    02 セキュリティマネジメント編(本記事)

    03 セキュリティ人材編

    04 セキュリティ対策編

    05 脅威・事故編

     

    Secure SketCHへの新規登録(無料)はこちらから!

    secure_sketch_sign_up

     

    facebook linkedin twitter hatena bookmark

    メルマガ登録

    人気記事

    人気e-Book