2020.10.21 インタビュー
IPAインタビュー「CISOの役割とプラクティス集」の第二回目は、『「企業のCISO等やセキュリティ対策推進に関する実態調査」について(アンケート調査・結果)』をお届けします。
■実態調査の手法
(小川)
文献調査、アンケートと有識者インタビューという組み合わせは、調査をする手法として、標準的なことだと思います。まず文献調査で世の中の状況を確認して、その中から仮説となり得るものをピックアップして、それに基づいてアンケートを設計します。並行して有識者インタビューを行い、仮説について有識者が「どう思っているか」を聞いたり、あるいは自分たちが作った仮説に意見をもらったりします。調査の後では、アンケート結果についてコメントをもらったりしています。
今回の調査では、変則的ではありますが、サイバーセキュリティ経営ガイドラインプラクティス集第2版として第1版で集めきれなかった事例を集めることを並行して実施しました。事例を持っていそうな企業を訪問して、何をやっているか、どのような工夫をしているかをインタビューして、プラクティス集の方でまとめています。
今回の調査で、特に調べたいと思ったのは、「サイバーセキュリティ経営ガイドラインを策定したことが、経営層のセキュリティへのコミットメントについてどれだけ有効だったのか、企業の意識がどれだけ変わったのかということです。具体的には「CISOはセキュリティをやっていればいい」というマインドが変わってきたという結果がでましたので、効果が出てきているのではないかと感じています。
■アンケート調査と結果について
(小川)
国内の業種分布に従って約1万社にアンケートを配布し、約2000社から回答をいただきました。回答に関してCISOを設置していた会社を有効回答として集計しています。
(半貫)
アンケート結果では、"CISOの役割で重視するもの"について、「技術的な役割を期待していて専門知識があるべきだ」が多いと思っていたんですが、蓋を開けてみたら、「事業的、経営的役割が必要だ」が多い。また一方で、CISOの役割として「セキュリティに関する人材育成の確保が重要だ」が多いという結果が得られました。
(小川)
「人材育成に関してもCISOのフォローが必要」という結果は今回の調査で初めて出てきました。
それから、CISO等の役割や責任を明確にして、経営層とコミュニケーションを取ることが、大事なことということがわかりました。
例えばリスク評価について、「経営層はもっとリスクを教えてほしいと思っている」と、CISOは感じているようです。おそらくCISOが活動していないのではなく、響いていないのかな、と思います。どこかの企業がサイバー攻撃を受けたという情報に対して、「で、うちは?」になる。それに対してリスクをどう実感させるのか、どのようにして経営者にサイバーセキュリティリスクを分からせるのかというのは、今後も継続した課題になると思います(「サイバーセキュリティに関する経営層の課題認識」のアンケート結果の図参照)。
「サイバーセキュリティに関する経営層の課題認識」のアンケート結果 ※報告書より抜粋
(半貫)
今回のアンケート調査の内容について、プレス発表もした内容になりますが、経営層の事業リスクの評価に対する認識について、半分以上の企業が事業リスクの評価が未実施となっています。さらに考察すると、重要インフラを持っている企業でも、リスク分析の結果を事業リスク評価に役立てるところまで行っている企業は、2割程度と少ないですので、更なる啓発が必要と考えます。因みに、ここでいうリスク分析は、対策の優先度を決めるためにセキュリティのリスクレベルを特定することで、事業リスクの評価は、ビジネス継続性や金銭被害・レピュテーション被害等を含めた影響評価になります。
■リスク評価について
(小川)
今回の調査では直接は聞いていませんが、やはりリスク分析・リスク評価は難しい。コストも掛かり非常に面倒なのは確かです。大企業になればなるほど資産管理が大変です。経営層も「セキュリティリスクが分からない」というのは感じているんじゃないでしょうか。「全サーバのパッチはあたっているのか」とか、そういうことが大企業になればなるほど、量が膨大になるので分からない。それをちゃんとリスク評価しようとすると、なかなかやりにくいという悩みはあると思います。
経営ガイドラインでも、"リスクアセスメントをまずやりましょう"と言っています。しかしながら、他の調査でリスクアセスメントの実施状況を聞いてみると、大変でなかなか実施できていないという意見があります。セキュリティリスク管理の最初の段階でつまずいてしまう。そのようなこともあり、今回第2版のプラクティス集では、リスクベースの考え方で簡単リスクアセスをやりましょう、というプラクティスを追加しました。
(半貫)
追加のプラクティスの1つ、指示項目4がリスクに関する項目になります。企業の資産の洗い出しを指示されたけれど難しい、じゃあどうすればいいのか、という課題になっています。プラクティス集に記載している会社は、まず、リスクベースの分析というのを簡単にやりましょう、としています。
■リスクベースとは
(小川)
リスクベースというのは、簡単にイメージすると、「今流行っている攻撃は何?」「その攻撃に対してうちのシステムで危ないのはどれ?」と考え、そこから優先的に対策する、ということです。
全部一度に調査すると大変なので、例えば「今流行しているランサムウェアが製造現場にきたらどうなのか」ということを考えます。今年の5月には大手製造業も攻撃を受けましたが、ランサムウェアの攻撃がメールできたときにどこが危ないのだというのを、例えば工場なら工場で「従業員のパソコンが危ない?」「じゃあそこをちゃんとやるか」とやっていきます。
今回のプラクティスに限らず、他でもリスクベースのアプローチは有効と言われています。
■サプライチェーンセキュリティの課題は
(小川)
サプライチェーンは、ここのところのセキュリティ課題ですね。「自分のところだけでも大変なのに、人のところも面倒みるの?」となりますから。今は「解」がないですが、契約で縛るとかチェックシートによる報告や監査とか、運用でなんとか回している印象です。
(半貫)
サプライチェーンの長さにもよると思います。自動車業界はサプライチェーンが長いのかなと思いますが、長いと非常にセキュリティの管理も大変なんじゃないかと思いますね。
■サプライチェーンのセキュリティ対策で苦労すること
(小川)
今回の調査では、サプライチェーンリスクの中で何が問題ですか、ということを聞いています。他のセキュリティリスクと比較した、サプライチェーンリスクの重要度という点は聞いていません。
「サプライチェーンセキュリティのリスク認識」のアンケート結果 ※報告書より抜粋
サプライチェーンの中で何が心配ですかと聞くと「クラウド」、それから「顧客情報や限定提供データ(限定的に取引先と共有するデータ)の社外保管」、その次が「外部委託先による自社システムの運用」、その次が「外部委託先による自社システムの開発」となり、ここで発注がでてきます。つまり、発注よりもクラウド利用が大丈夫か?というのが気になっている傾向が強いです(「サプライチェーンセキュリティのリスク認識」のアンケート結果の図参照)。
今だとテレワークがありますので、テレワークで従業員がクラウド利用やリモート会議等のセキュリティ対策を正しくやっているか、段々見えなくなっている。そういうところも課題かもしれないですね。
(半貫)
サプライチェーンのセキュリティリスクに対する認識の度合は高まってはいます。アンケートでは、「リスクとして認識していない」が2.8%で、リスクとして認識している企業がほとんどです。ですが、実際に具体的な対策着手までできているところは、まだ少ない状況です。サプライチェーンについては定期的な監査や報告で、状況を定期的に把握したりすることが求められています。
「サプライチェーンのセキュリティリスクを認識し、対策や備えの具体的な着手が、今求められています」
半貫貴久 研究員
≪参考URL≫
企業のCISO等やセキュリティ対策推進に関する実態調査報告書 (2020年3月25日) [IPA]
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版 (2020年6月9日) [IPA]
サイバーセキュリティ経営ガイドラインの概要 (v2:2017年11月16日) [METI]
「企業のCISOやCSIRTに関する実態調査2017」報告書について (2017年11月16日) [IPA]