セキュリティ人材を管轄する最高情報セキュリティ責任者（CISO）未設置の企業は半数以上～企業における情報セキュリティ実態調査 2015～

NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、代表取締役社長：小田島潤、以下「NRIセキュア」）は、東証一部・二部上場企業を中心とする3000社の情報システム・情報セキュリティ担当者を対象とした情報セキュリティに関するアンケート調査をおこない、調査結果を集計・分析してまとめた「企業における情報セキュリティ実態調査 2015」を本日発表しました。本調査は2002年度から毎年実施しており、今回で14回目となります。

2015年度のアンケートデータを分析した結果、以下の4点に注目しました。

最高情報セキュリティ責任者（CISO）を未設置の企業は半数以上
セキュリティ人材は3年連続して8割の企業で不足
重視するセキュリティ対策は「従業員のセキュリティ教育」や「標的型攻撃への対策」
2割近くの企業がサイバー保険に加入済みまたは加入意向あり

最高情報セキュリティ責任者（CISO）を未設置の企業は半数以上

増加傾向にあるサイバー攻撃は、巧妙化・多様化の一途をたどり、攻撃を受けることは企業活動への影響も大きく、経営に直結する問題と言えます。一方、情報セキュリティ対策を経営目線で戦略的に考える役割であるCISOは、半数以上（53.4%）の企業で設置されておらず（図1）、横断的な戦略策定や有事の際の迅速な対応への懸念が残ります。CISOを設置することで、指揮命令系統が明確な組織の構築が期待できます。また、企業における情報セキュリティの課題を横断的に把握し、戦略的な対策の実装、実施のための管理体制の整備につながると考えます。

セキュリティ人材は3年連続して8割の企業で不足

企業の情報セキュリティの管理や、社内システムのセキュリティ対策に従事する人材が不足していると考える企業は、全体の82.1%と、3年連続で8割を超えたままです（図2）。これは、昨今の情報セキュリティ分野の高度化に伴う人材のスキル強化と、事故対策などの業務量増加への人材の補てん、といった2つの側面から、人材不足と感じる企業が多いと推察されます。
また、足りない人材を自社で育成する方針の企業は、7割以上に上るものの（図3）、多くの企業が自社での育成に必要な制度・仕組み作りが整備されていないことを課題と考えています（図4）。

重視するセキュリティ対策は「従業員のセキュリティ教育」や「標的型攻撃への対策」

本調査では、重視するセキュリティ対策として「従業員のセキュリティ教育」を選んだ企業が4割以上に上り、1位となりました（図5）。これは昨今のセキュリティ事故を教訓とし、従業員のセキュリティ意識を向上させる必要性が企業の中で広く認識されてきた結果だと考えられます。また、2位に「標的型攻撃対策」（33.1%）が入ってきていることからも、社会的なセキュリティ事故事例は、企業におけるセキュリティ施策の検討に影響を与えることが伺えます。

2割近くの企業がサイバー保険に加入済みまたは加入意向あり

サイバー攻撃の巧妙化や被害の深刻化に伴い、リスク移転^＊の方法として、新たにサイバー保険が登場しています。本調査では、2割近くの企業が「加入済み」または「加入意向がある」との結果が得られました（図6）。サイバー保険は、現時点では先進的な取り組みとして導入され、まだ広く認知されているとは言えませんが、今後加入を選択する企業が増加すると推察しています。

「企業における情報セキュリティ実態調査 2015」の詳細については、下記のウェブサイトを参照ください。

https://www.nri-secure.co.jp/report/2015/2015

＊リスク移転：
リスクを他社などに移すこと。例えば、企業がサイバー攻撃の被害にあった場合の損失費用を、サイバー保険料で補てんする

ご参考

調査概要

調査名　　：「企業における情報セキュリティ実態調査 2015」
調査目的　：①国内の大手・有力企業における情報セキュリティに対する取り組み状況を明らかにする
　　　　　　　②企業の情報システム・情報セキュリティ関連業務に・携わる方へ有益な参考情報を提供する
調査時期　：2015年9月4日～10月16日
調査方法　：郵送およびWebによるアンケート
調査対象　：東証一部・二部上場企業、JASDAQ上場企業、マザーズ上場企業、地方上場企業、および未上場で従業員数が多い企業の合計3,000社に在籍する情報システム・情報セキュリティ担当者
回答企業数：665社