CISO等がいる組織でも事業リスク評価が未実施である割合は53.4%-IPA

近年、企業経営においては、ITを積極活用した「攻めの経営」と、情報資産やシステムを保護する「守りの経営」とを高いレベルで両立することが求められている。この実現のためには、経営方針に基づき、セキュリティに関して企業内の調整や実務者層をリードできる人材（CISO等）及び同方針に基づいたセキュリティ対策の実践が必要であると考えられる。IPA（独立行政法人情報処理推進機構）は、経営層を支えるCISO等の対策実践力を強化支援し、組織のセキュリティ対策レベルの向上に資することを目的に、CISO等の役割および国内のサイバーセキュリティ対策の取組み状況を把握するための調査を行い、その結果を公開した。

公開された「企業のCISO等やセキュリティ対策推進に関する実態調査」は、2019年10月1日～21日にかけて従業員301人以上で、CISOを任命している国内企業を対象にアンケート調査を実施し、結果を取りまとめたものである。有効回答数は534件。
CISO等に求められる役割や組織の対策の実施状況などを調査したものであり、中でも注目すべき3つのポイントがあった。

1. CISOに求める役割
   「経営層との橋渡し」が最も多く（45.5%）、以下、「セキュリティ対策の推進（45.3%）」「セキュリティ目標・計画・予算の策定・評価（29.2%）」が続く。また、今後についてはこれらの役割に加え、「セキュリティ人材の育成・確保（31.8%）」が特に重要視されている。
   図1：重視しているCISO等の役割

2. セキュリティ対策を推進する上での課題認識
   課題としては「リスクの見える化が困難／不十分（45.7%）」が最多に。準備不足、専門知識不足、人材不足に起因する回答が続くが、「経営層のリスク感度が低い（9.7%）」、「経営層にITやセキュリティの重要性を理解してもらえない（9.4%）」という回答は興味深い。
   経営層のセキュリティに対する全般的なリスク認識は高まっていると思われるが、まだまだ理解されていない実情もうかがえる。
   図2：課題認識

3. リスク分析結果の事業リスク評価への活用
   CISO等設置済の組織においても、セキュリティに関する事業リスク評価が未実施である割合は53.4%。そのうち、リスク分析を行っていない組織の割合は21.0%。
   
   図3:セキュリティリスクの事業リスク評価への活用さらに、ITが事業に必要不可欠であり、且つCISO等がいる組織においても、セキュリティリスクの分析を行っていない（16.5%）、またはリスク分析を行っていてもその結果を事業リスク評価に役立てていない割合は30.7%であり、事業リスク評価につなげられていない組織が半数近く存在することがわかる。
   図4:IT依存度の高い組織に絞ったリスク分析結果の事業リスク評価への活用

セキュリティ対策にはリスク分析は必須であるが、今回の調査結果から、そのリスク分析の実施に何らかの難しさがあることが推察されるとIPAでは分析している。更に仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになった。

事業リスク評価へ役立てられていない理由にはCISOとしての活動を可視化することが難しいのではないかと考えられる。
IPAでは「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」も公開している。これは、39の設問に回答することで、実践状況のレーダーチャートが生成されるチェックシートになる。
また、ワークシートが複数あり、グループ企業、サプライチェーン、部門間などでの比較も可能としている。
この可視化ツールβ版の診断結果は、組織のセキュリティ対策の現状や取組み方針に関する経営層への説明等に活用されることを想定して作られており、一度目を通しておくべきであろう。