経営課題のセキュリティ、CISOによる適切なリソース配分が鍵｜NRIセキュア調査結果｜ブログ

2019.08.01 当社で実施した「企業における情報セキュリティ実態調査2019」の結果を、先週よりテーマ毎に公開しています。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「セキュリティマネジメント」に関連した調査結果をまとめました。

＜調査概要＞
　対象：日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
　回答企業数：計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
　※以降、米：アメリカ、星：シンガポール　を指す

セキュリティの統括人材と予算割当の実態

サイバー攻撃は年々高度化・複雑化し、セキュリティインシデント被害が企業存続に打撃を与えるほどにまで深刻化するケースも少なくありません。それ故に企業はセキュリティを経営課題として捉え、管理することが求められています。

「セキュリティマネジメント」のテーマでは個々の対策ではなく、統括の目線で企業のセキュリティ管理の姿勢に焦点を充てます。

まず、統括人材と予算の調査結果を見てみます。日本企業は米/星に比べるとセキュリティ統括人材の設置が進んでおらず、予算の割当も低いことがわかりました。

セキュリティ統括人材の設置状況

NRIセキュア-Insight2019-CISOを設置している企業とCISOの属性

図1：CISOを設置している企業とCISOの属性

米/星の85％以上がCISOを設置している一方、日本は50％台の設置にとどまっています。念の為補足しておくと、CISO（Chef Infomation Security Officer）とは、最高情報セキュリティ責任者を指します。CISOは企業の情報セキュリティの統括管理を担い、セキュリティ対策に必要な予算獲得や施策推進を実施します。

役割の内容からも分かる通り、CISOには経営層が就任することが多いです。「CISOに経営層が就任している割合」でいうと、日本は昨年と同程度の結果で、一見するとこの1年で大きな変化は見られませんでした。（もちろん調査対象数や回答時期の条件が異なりますので単純な経年比較はできませんが。）

セキュリティ予算の割当

NRIセキュア-Insight2019-IT関連予算に占めるセキュリティ予算の割合

図2：IT関連の予算に占めるセキュリティ予算の割合

次にIT関連の予算に占めるセキュリティ予算の割合を国別に見てみると、10％以上をセキュリティに割り当てている企業で差が生じました。

NRIセキュア-Insight2019-セキュリティ予算のうち新規対策にかける費用割合

図3：セキュリティ予算のうち、新規対策にかける費用割合

さらに、セキュリティ予算のうち、新規対策にかける費用割合についても国別に見ると、図のように差が生じました。

日本企業はセキュリティ対策にかける費用が米/星に比べて低く、新規対策にかける費用で見るとさらに差が広がることがわかります。

また、報告書本編では、「CISO設置有無別の新規対策にかける割合」についても分析しています。　どのような結果になったかは、報告書をダウンロードしてご覧ください。

これらのことから、日本企業はCISOのように経営目線でセキュリティを統括管理する人材の設置率が低く、予算の割当も十分でないことから経営リソースをセキュリティに振り分けられていないことがわかります。

経営課題であるセキュリティをGRCの観点で効率的に管理する

では、セキュリティ人材不足や十分なセキュリティ予算の割当がない中で、効率的セキュリティを管理するためにはどうしたらよいのでしょうか。まず、調査で得られた3つの結果をご紹介します。

GDPRの対応状況

2018年5月に施行された欧州経済領域の個人データ保護を目的とした管理規則、「EU一般データ保護規則（GDPR）」への対応状況は以下のような結果が得られました。

NRIセキュア-Insight2019-GDPRの対応状況

図4：GDPRの対応状況

「対応不要」と回答した企業を除いて国別に比較すると、対応済、対応中・検討中の企業が米/星は70％以上であるのに対し、日本企業では25％程度にとどまりました。また、同程度25％の日本企業は「わからない」と回答しています。

GDPR対応はデータ保護の観点など、セキュリティ対策と密接に関係しています。今回の調査対象である情報システム・セキュリティ担当者が対応状況を把握できていないことは、課題として捉えて日本企業は改善を図るべきではないでしょうか。

規則違反として賠償責任が問われる事例も発生していますし、対応要否、対応状況については早急に確認が必要です。

【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策

また、報告書本編では、「CISO設置有無別のGDPRの対応状況」についても分析しています。どのような結果になったかは、報告書をダウンロードしてご覧ください。

サイバー保険の加入状況

サイバー保険（サイバー攻撃による金銭的損失を補償する損害保険）の加入状況は以下のような結果が得られました。

NRIセキュア-Insight2019-サイバー保険の加入状況

図5：サイバー保険の加入状況

加入済み、加入予定のある企業を国別で見ると米/星ともに70％以上であるのに対し、日本では20％程度にとどまりました。米/星に比べると加入意向は低いですが、例年や昨年の結果から見ると加入増加傾向と言えるでしょう。（こちらも調査対象数や回答時期の条件が異なりますので単純な経年比較はできませんが。）

いくらセキュリティ対策に投資しようとも、セキュリティリスクを”0”にすることはできません。保険へ加入することは、リスクをゼロにするために対策に投資し続けるのではなく、リスクを移転するための投資＝“保険料”にスライドさせることです。

経済産業省が策定・公開するサイバーセキュリティ経営ガイドラインV2.0においても、リスク移転の手段としてサイバー保険加入が有効であることは明記されています。是非、これを機にサイバー保険への加入を検討してみてはいかがでしょうか。

報告書本編では、「サイバー保険へ加入した理由」についてのランキングも掲載しています。
どのような結果になったかは、報告書をダウンロードしてご覧ください。

セキュリティに係る戦略策定などに利用する参考ガイドライン

国内外含め、セキュリティ対策の導入やセキュリティマネジメントにおいて参考となるフレームワークやガイドラインは多くあります。セキュリティに係る戦略策定や自社・グループ会社のルール・ガイドライン策定の際に利用するフレームワークについて調査しました。

NRIセキュア-Insight2019-参考ガイドライン

図6：参考ガイドライン

日本企業ではISOやサイバーセキュリティ経営ガイドラインが多く参照されている一方、ガイドラインを利用していない企業が約30％と一番多い結果となりました。また、米/星に比べてNIST Cyber Security FrameworkやCIS Critical Security Controlsといったグローバルなガイドラインの利用が日本では進んでいません。

これは項目数が多く全部を把握するのは大変、直訳された日本語がわかりにくいといった様々な理由が背景にあると考えられます。さらにそれぞれ技術寄り、マネジメント寄り、といった特徴があるのでシーンに応じた使い分けが求められますし、更新の度に最新の内容を把握する必要があるのでなかなか全てを取り入れるのは難しいでしょう。

こういった日本企業が多く抱える課題はSecure SketCHの「ガイドラインチェック機能」で解決できます。Secure SketCHは企業のセキュリティ対策状況を評価するツールで、セキュリティ対策に関する質問に答えるとその場で結果が表示されるサービスです。「ガイドラインチェック」とはSecure SketCHで答えたセキュリティ対策状況から、他のガイドラインの対策項目へと自動で変換する機能のことです。

Secure SketCHガイドラインチェック機能_全体
図7：Secure SketCH ガイドラインチェック機能のイメージ