CISOなどがいる企業でも53.4％はセキュリティに関する事業リスク評価が未実施、IPAが調査報告書を公開

　独立行政法人情報処理推進機構（以下、IPA）は25日、企業のCISO（最高情報セキュリティ責任者）などに求められる役割や、組織の対策実施状況などを調査した「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書を公開した。

　調査対象は、従業員301人以上かつCISOなどを任命している国内企業で、有効回答数は534件。調査方法はウェブアンケート調査およびアンケート票調査。調査期間は2019年10月1日～10月21日。

　調査によると、CISOなどがいる組織においても、セキュリティに関する事業リスク評価が未実施である割合は53.4％で そのうち、リスク分析を行っていない組織の割合が21.0％となった。

図1：セキュリティリスクの事業リスク評価への活用[単一回答]

　また、企業の事業におけるITへの依存度を4段階に分類し、その中で最もITへの依存度が高い企業（IT依存度カテゴリー1）においても、セキュリティリスクの分析は行っているが、その結果を事業リスク評価に役立てていない割合が30.7％となり、回答の割合が全体と比べても顕著に減らない傾向が明らかになったとしている。

図2：IT依存度カテゴリー1のリスク分析結果の事業リスク評価への活用[単一回答]

　CISOなどにおける課題認識としては、「リスクの見える化が困難／不十分である」という回答が最多の45.7％となった。

　IPAでは、セキュリティ対策にはリスク分析は必須だが、今回の調査結果では、そのリスク分析の実施に何らかの難しさがあると推察されると分析。さらに、仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになったとしている。

　また、今回の報告書に合わせて、IPAでは「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を公開した。ツールは、39の設問に回答するだけで、可視化結果として実践状況のレーダーチャートが生成されるチェックシート。ワークシートは複数あり、グループ企業、サプライチェーン、部門間などでの比較も行える。

　可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取り組み方針に関する経営層への説明などに活用されることを想定している。

　IPAでは、可視化ツールβ版を2020年度の事業において実証実験を行い、実態の把握や事業リスク評価などに活用されるよう、実用に向けて改良する予定としている。