経済産業省と独立行政法人 情報処理推進機構（IPA）が、2015年12月に公表した「サイバーセキュリティ経営ガイドライン」。それからまだ1年も経たないうちに、このガイドラインに対するお客さまや業界関係者の関心は、着実に高まっています。そこでここでは、経営ガイドラインのこれまでの影響を俯瞰すると共に、各組織の経営ガイドラインへの対応状況がどのようになっているのか、アンケート結果を元にレポートします。

急速に高まる「経営ガイドライン」への関心。しかし経営者の巻き込みはまだ不十分

「サイバーセキュリティ経営ガイドライン（以下、経営ガイドライン）」が公表されてから、まだ1年たらずですが、すでにお客さまとの会話や、お客さまへの提案・コンサルティングなどの中で、このガイドラインの説明を求められることが多くなっています。これは、各組織にてサイバーセキュリティに対する対応が求められる中、国が企業向けに公表したサイバーセキュリティと経営の関連を示したガイドラインにお客さまの関心が高まっているからだと言えるでしょう。
特に以下の2点に関しては、大きな変化が感じられます。1つ目が「サイバーセキュリティは経営層が経営課題として取り組むべきものであるということが共通認識となりつつあること」。これは経営ガイドラインに、「サイバーセキュリティ経営の3原則」として、経営層に向けた強いメッセージが込められていることが、大きな要因だと考えられます。2つ目が「中小企業におけるセキュリティ意識の変化」です。今までは「セキュリティ対策は大企業が対応するもの」という意識が一部の企業にはありました。ただし最近ではサプライチェーンを通した攻撃が増えてきており、対策が十分にされていない中小企業は格好の標的となります。サプライチェーン全体を視野に入れたセキュリティ対策が必要であるという認識が、着実に浸透しつつあるようです。
「経営ガイドライン」というキーワードは、現場レベルでは話の軸となることが増えており、共通認識を持つための非常に有効な“手引き書”となっています。しかしその一方で、その内容が経営層に伝わっているかといえば、まだ十分とは言えない状況です。
NECグループでは、お客さまに向けた「サイバーセキュリティ経営ガイドライン解説セミナー」を実施しています。セミナーの中で実施したアンケート結果をもとに確認できた傾向を紹介します。

アンケート結果から見える現状やこれからの課題

セミナー参加者のセキュリティ対策における組織内の立場としては「情報収集・検討メンバー」46.5%、「対策検討の責任者」42.6%と、現場の対策メンバーが大半で、経営層の参加は少ない傾向でした。また、経営ガイドラインへの対応状況に関しては「情報収集中」「対策強化検討」が85％を超え、1年以内に対策の予定が決まっている組織も6.0％と非常に少なく、経営ガイドラインへの注目度は高いものの、現時点では各社どのような対策を実施していくかを整理している状況のように見受けられます。
また検討を行う中心部署としては、情報システム部門が73.1％と最も多いようです。この傾向は経営ガイドラインの重要１０項目の中に記載されている緊急時の対応体制（CSIRTなど）の中核を担う部署と密接に関係していると考えられます。以前は情報システム部門を中心に立ち上げることが多かったCSIRTですが、近年では会社経営に関わる部署が立ち上げる組織も多くなっています。総務部門がアンケートの2番目になっていますが、今後はこの割合が増えていくと考えられます。

次に、どのようなセキュリティ対策を必要だと感じているかという問いへの回答結果を紹介します。まず注目したいのは、1位「従業員への教育」、2位「社内人材育成」といったように、人的な対策が上位に挙げられている点です。セキュリティ人材不足は言われて久しいですが、未だにセキュリティ人材の確保は各組織の一番の課題であることがわかります。また3位「セキュリティポリシー策定・見直し」、4位「セキュリティリスクの把握」は組織内の状況把握と定義のために必要な対策、5位「CSIRTの整備」、6位「リスク管理体制の構築」は平常時・緊急時それぞれのセキュリティ対応体制の整備・構築というように、2つごとに対策が紐付いているのが特徴的です。

おすすめコンテンツ