今週より、当社で実施した「企業における情報セキュリティ実態調査」の結果を、テーマ毎に公開していきます。本調査は、NRIセキュアが2017年12月から2018年3月にかけて、日本を含む5カ国を対象に実施したものです。その中で、今回は「セキュリティ経営」に関連した調査結果をまとめました。
ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。
- <調査概要>
対象:日本、米国、英国、シンガポール、豪州企業の情報システム・情報セキュリティ担当者
回答企業数:計1110 社 ( 日本:107 社、米国:500 社、英国:197 社、シンガポー ル:210 社、豪州:96 社)
海外4か国では、経営層がセキュリティに積極的に関与
まずは、日本と海外で、企業の経営層はセキュリティに対してどのように関与しているのか、また関与度合いによって、どのような差異が企業間で発生しているのかを整理しました。
■経営層のセキュリティへの関与度合い
セキュリティ業務を統括する立場(CISO:Chief Information Security Officer)に、「経営層が就任している割合」を調査してみました。その結果、専任・兼任にかかわらず経営層がCISOに就任している企業の割合は日本では約35%でしたが、海外4か国(米国、英国、豪州、シンガポール)では約70%にも上りました。
経営資源を動かすことができるのは経営層です。つまり、経営層がセキュリティに関与することで、ヒト・モノ・カネ・情報といった経営資源を、セキュリティ対策のために、ダイナミックに、かつ迅速に動かすことができるようになります。海外諸国では、セキュリティを「経営課題」として捉えて、きちんと経営資源を振り向けて、ダイナミックに、かつ迅速に対策を推進させようとしているものと考えられます。
■セキュリティ対策計画のスパン
各企業が策定する「セキュリティ対策計画のスパン」を調査したところ、日本・豪州では「1年程度の短期計画」を策定している企業が多く、米・英・星では「3年程度の中長期計画」を策定している企業が多い、という結果になりました。
セキュリティの中長期計画を策定する場合、セキュリティの技術的な対策だけでなく、企業の今後の経営戦略や事業方針を加味する必要があるため、経営層の協力及び承認が必要なこと多いです。そのため、経営層がCISOに就任している割合の小さかった日本では、中長期計画よりも、短期計画を策定する企業が多くなっているものと推測されます。
■企業のセキュリティ関連予算
セキュリティに関連した「予算」の策定状況はどうでしょうか。下図は、各企業のIT関連予算に占めるセキュリティ関連予算の割合を表しています。IT関連予算の内、10%以上をセキュリティ関連予算に充てている企業は、日本では約20%でしたが、海外4か国では50%を超えていました。
一般的に、CIOはビジネスを加速させるための「攻めの投資」を担い、CISOは情報資産を守るための「守りの投資」を担うことが多いです。経営層がCISOに就任している割合の高い海外4か国の方が、守りの投資であるセキュリティ関連予算を確保しやすい環境であったと考えられます。
海外4か国はサイバー保険の活用や、セキュリティ関連の情報開示も戦略的に実施
次に、サイバー保険の活用状況や、セキュリティ関連の情報開示についての、日本と海外における意識の違いについてまとめました。
■企業のサイバー保険加入状況
下図は、サイバー保険に「加入済み/加入予定」の企業の割合を表しています。「加入済み/加入予定」の企業は、日本では約10%でしたが、海外4か国では約60%~約70%でした。
■サイバー保険に対する不満・課題
続いてサイバー保険に対する不満・課題の上位3つを整理しました。日本では、「分からない」「保険料の引き下げ」「特になし」の回答が上位を占めました。海外4か国では「補償内容の拡充」「補償額の引き上げ」「支払い条件の透明性向上」「付帯サービスの拡充」の回答が上位を占めました。
これらの傾向は、海外4か国では、サイバー保険を活用する前提で、保険商品から得られるベネフィットを最大化させようとしており、一方の日本ではサイバー保険を活用するという考え方自体が十分に浸透していないことが要因として考えられます。
もちろん、サイバー保険について十分な検討をした上で、加入を見送っている日本企業も存在するでしょう。重要なのは、自社が保有するセキュリティリスクをきちんと見極めること、そして、サイバー保険に加入することがそれらのリスクをコントロールするために有益なのかどうかを考える、ということです。サイバー保険がどのようなものか気になる方は、下記の記事をご参照ください。
■セキュリティ対策情報の開示状況
下図はセキュリティ対策に関する情報の開示状況を調査した結果を表しています。情報を「公開済み/公開予定」と回答した企業は、日本では約45%でしたが、海外では約90%にも上りました。
海外では、サイバーセキュリティに関するリスクや、それらへの対応状況について、有価証券報告書等の中で情報開示することが義務付けられていたり、サイバーセキュリティ事故が発生した際に、当局に届け出ることが義務付けられているケースが多いです。海外4か国において、情報を開示する企業が約90%までのぼった背景には、このような国ごとのサイバーセキュリティに対する姿勢の違いが関与していると考えられます。
日本では、総務省がサイバーセキュリティタスクフォース内に、「情報開示分科会」を設けて、民間企業のセキュリティ対策の情報開示に関する検討を開始しています。したがって、今後日本においても、セキュリティに関する情報開示を義務付けられ、積極的に情報開示をする企業が増えていく可能性は十分にあります。
今後、日本でも「セキュリティ経営」がより重要になる
今回の調査の結果、セキュリティ経営に関する、日本と海外4か国との間の「意識の差」が浮き彫りになりました。加えて、当社のセキュリティ対策状況可視化サービス(Secure SketCH)のデータと突き合せた更なる分析結果によると、経営層がセキュリティに関与している企業の方が、そうでない企業に比べてセキュリティ対策のレベルが高くなるという傾向も明らかになりました。今後、日本においても、さまざまな環境上の要因から、セキュリティに対して経営層が積極的に関与し、責任をもってセキュリティ対策を推進させるということが、求められるようになってくると考えられます。
以下の報告書では、本ブログ記事の内容に加えて、「セキュリティ人材」、「脅威・事故」、「セキュリティ対策」編の詳細分析結果、及びSecure SketCHのデータを掛け合わせた日本企業に関する更なる分析結果をまとめています。ぜひダウンロードしてみてください。
企業における情報セキュリティ実態調査2018
01 セキュリティ経営編(本記事)
セキュリティ経営を実現するには、セキュリティ対策状況の見える化が欠かせません。この機会に、無料で始められるSecure SketCHに新規登録し、自社の状況を見える化してみましょう。セキュリティ経営を実現するための第一歩として、経営層とセキュリティ担当者の間で、Secure SketCHによる自社の評価結果を共有することから始めてみてはいかがでしょうか。
Secure SketCHへの新規登録(無料)はこちらから!
