ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 注目トレンド
ここから本文です。

注目トレンド

「サイバーセキュリティ経営ガイドライン」
その関心の高まりとアンケートでわかった実際の対応状況

~具体的な対策が決まっている組織はまだ少数派
人的対策や組織状況の把握、セキュリティ対応体制確立が重要課題に~

経済産業省と独立行政法人 情報処理推進機構(IPA)が、2015年12月に公表した「サイバーセキュリティ経営ガイドライン」。それからまだ1年も経たないうちに、このガイドラインに対するお客さまや業界関係者の関心は、着実に高まっています。そこでここでは、経営ガイドラインのこれまでの影響を俯瞰すると共に、各組織の経営ガイドラインへの対応状況がどのようになっているのか、アンケート結果を元にレポートします。

急速に高まる「経営ガイドライン」への関心。しかし経営者の巻き込みはまだ不十分

「サイバーセキュリティ経営ガイドライン(以下、経営ガイドライン)」が公表されてから、まだ1年たらずですが、すでにお客さまとの会話や、お客さまへの提案・コンサルティングなどの中で、このガイドラインの説明を求められることが多くなっています。これは、各組織にてサイバーセキュリティに対する対応が求められる中、国が企業向けに公表したサイバーセキュリティと経営の関連を示したガイドラインにお客さまの関心が高まっているからだと言えるでしょう。
特に以下の2点に関しては、大きな変化が感じられます。1つ目が「サイバーセキュリティは経営層が経営課題として取り組むべきものであるということが共通認識となりつつあること」。これは経営ガイドラインに、「サイバーセキュリティ経営の3原則」として、経営層に向けた強いメッセージが込められていることが、大きな要因だと考えられます。2つ目が「中小企業におけるセキュリティ意識の変化」です。今までは「セキュリティ対策は大企業が対応するもの」という意識が一部の企業にはありました。ただし最近ではサプライチェーンを通した攻撃が増えてきており、対策が十分にされていない中小企業は格好の標的となります。サプライチェーン全体を視野に入れたセキュリティ対策が必要であるという認識が、着実に浸透しつつあるようです。
「経営ガイドライン」というキーワードは、現場レベルでは話の軸となることが増えており、共通認識を持つための非常に有効な“手引き書”となっています。しかしその一方で、その内容が経営層に伝わっているかといえば、まだ十分とは言えない状況です。
NECグループでは、お客さまに向けた「サイバーセキュリティ経営ガイドライン解説セミナー」を実施しています。セミナーの中で実施したアンケート結果をもとに確認できた傾向を紹介します。

アンケート結果から見える現状やこれからの課題

セミナー参加者のセキュリティ対策における組織内の立場としては「情報収集・検討メンバー」46.5%、「対策検討の責任者」42.6%と、現場の対策メンバーが大半で、経営層の参加は少ない傾向でした。また、経営ガイドラインへの対応状況に関しては「情報収集中」「対策強化検討」が85%を超え、1年以内に対策の予定が決まっている組織も6.0%と非常に少なく、経営ガイドラインへの注目度は高いものの、現時点では各社どのような対策を実施していくかを整理している状況のように見受けられます。
また検討を行う中心部署としては、情報システム部門が73.1%と最も多いようです。この傾向は経営ガイドラインの重要10項目の中に記載されている緊急時の対応体制(CSIRTなど)の中核を担う部署と密接に関係していると考えられます。以前は情報システム部門を中心に立ち上げることが多かったCSIRTですが、近年では会社経営に関わる部署が立ち上げる組織も多くなっています。総務部門がアンケートの2番目になっていますが、今後はこの割合が増えていくと考えられます。

セキュリティ対策における組織内の立場
(セミナー参加者)

経営ガイドラインへの対策

経営ガイドライン
対応検討部署

次に、どのようなセキュリティ対策を必要だと感じているかという問いへの回答結果を紹介します。まず注目したいのは、1位「従業員への教育」、2位「社内人材育成」といったように、人的な対策が上位に挙げられている点です。セキュリティ人材不足は言われて久しいですが、未だにセキュリティ人材の確保は各組織の一番の課題であることがわかります。また3位「セキュリティポリシー策定・見直し」、4位「セキュリティリスクの把握」は組織内の状況把握と定義のために必要な対策、5位「CSIRTの整備」、6位「リスク管理体制の構築」は平常時・緊急時それぞれのセキュリティ対応体制の整備・構築というように、2つごとに対策が紐付いているのが特徴的です。

対策の必要性
選択数が多い順 対策内容
1 従業員への教育
2 社内人材育成
3 セキュリティポリシー策定・見直し
4 セキュリティリスクの把握
5 インシデント発生時の迅速な対応(CSIRTの整備)
6 リスク管理体制の構築
7 標的型メール攻撃対策(サンドボックス)
8 ログ監視による攻撃の早期発見(SOC)
9 マルウェア感染リスクの低減
10 ランサムウェア対策
  • 11位以降は省略

おすすめコンテンツ

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る