IPA、「企業のCISO等やセキュリティ対策推進に関する実態調査」の報告書を公開
- 2020/03/27 10:30
- SecurityInsight
IPA(情報処理推進機構)は3月25日、CISO等の役割および対策の取り組み状況を把握するための調査を実施した結果と考察等を、報告書として公開したことを発表した。
公開した「企業のCISO等やセキュリティ対策推進に関する実態調査」は、CISO等に求められる役割や組織の対策の実施状況などを調査したもの。主なトピックは以下のとおり。
・CISO等がいる組織においてもセキュリティに関する事業リスク評価が未実施である割合は53.4%。そのうちリスク分析を行なっていない組織の割合は21.0%。
・ITが事業に必要不可欠で、CISO等がいる組織において、セキュリティリスクの分析を行なっていても、その結果を事業リスク評価に役立てていない割合は30.7%。
・CISO等における課題認識では“リスクの見える化が困難/不十分である”が最多の45.7%
セキュリティ対策にリスク分析は必須だが、今回の調査結果では、そのリスク分析の実施に何らかの難しさがあると推察された。さらに、仮にリスク分析をしていても、それを事業リスク評価に役立てていないという実態が明らかになった。