調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[高橋睦美，ITmedia]

　日本企業のサイバーセキュリティ体制は、欧米諸国と比べてどのような状況にあるのか。そしてどのような指針に基づいて改善していくべきなのか。

　 NRIセキュアテクノロジーズ（NRIセキュア）でDXセキュリティプラットフォーム事業本部本部長を務める足立道拡氏は、ITmedia エグゼクティブセキュリティセミナー 2023春の基調講演「経営層に対してサイバーセキュリティリスクを見せる化する方法」において、同社が実施した「企業における情報セキュリティ実態調査2022」の結果と、昨今の脅威動向を踏まえながら、対応策を示した。

日本と米豪のセキュリティ体制にはっきり影を落とすCISOの有無

NRIセキュアテクノロジーズ DXセキュリティプラットフォーム事業本部本部長 足立道拡氏

　NRIセキュアは2002年から、企業がどのような問題意識を持ち、どのような対策を進めているかを明らかにする情報セキュリティ実態調査を実施してきた。これまでの回答企業数は累積で2万社以上に上るという。

　最新の「企業における情報セキュリティ実態調査 2022」は、日本とアメリカ、オーストラリアの企業を対象にし、このうち日本では約1800社から回答が得られた。

　これによると、日本企業がDXに取り組む割合は約8割で、米豪と比べても遜色ない数字になっている。ただ、その成果となるとやや違いが生じ、米豪では業務の生産性向上、業務コストの削減、製品やサービスの売り上げ向上といったキーワードがあがっている一方で、日本は製品やサービスの売り上げ向上ではなく、「老朽化したシステム刷新」が挙げられており、ビジネスへの貢献が今後の課題である。

日本のDX取り組みの割合は高まり、成果も出ているが、今後の課題はビジネスへの貢献

　そして、DX推進における課題については、いずれの国においても「DX推進人材の不足」がトップに挙げられた。

　また、DX認定を取得している企業の方が、認定を取得していない企業に比べ「情報セキュリティへの対応」を課題として捉える比率が高いという傾向が見られた。同様に、DX認定を取得し、意識の高い企業ほど、「ゼロトラストセキュリティ」の実施割合が高いという相関も見られた。

経産省が進めるDX認定制度での認定企業は、ゼロトラストを実装している割合が高い

　では、セキュリティソリューションの導入状況はどうだろうか。最も導入比率の高いソリューションはEDRだった。

　「昨今のテレワークの常態化を背景に、EDRの導入が一般化しています。テレワーク環境において多くのセキュリティインシデントが発生していることから、EDRを導入する動きが一般化していることが背景と考えられます。さらに、クラウドの活用が進んだことを受け、クラウドやSaaSのセキュリティ設定・状況を確認するCSPM、SSPMもランクインし、今後も伸び続けていくでしょう 」 （足立氏）

ニューノーマルにおいてEDR導入が一般化、今後クラウドセキュリティ分野は更に伸びる

　そして、今回のテーマとも関係することだが、日本と米豪とで大きな差が見られたのが「CISOの設置状況」だった。米豪ではすでに設置していると回答した企業が9割を超えた一方、日本企業の設置率は約4割にとどまっている。もっとも、従業員数1万人以上の大企業になればなるほどCISOの設置割合が高くなり、大企業ほどセキュリティのリーダーシップの必要性が認められていることが分かる。

　調査では、セキュリティ予算とセキュリティ人材についても尋ねている。IT関連予算のうちセキュリティ関連予算が占める比率は、日本では米豪よりも低い10％未満にとどまった。また、セキュリティ人材不足もこの10年ほど続いており、人材不足を補う施策もなかなか実施できていない状況だ。本来ならばCISOを中心とした体制が支援していくのが望ましいが、こうした状況にもCISOの不在が大きく影響していると言えそうだ。

　興味深い結果となったのが、政府のサイバーセキュリティ対策強化に関する注意喚起にどのように対応したかだ。2022年2月23日、世界情勢の変化を踏まえて経済産業省が「サイバーセキュリティ対策の強化」に関する注意喚起を発出し、「リスク低減のための措置」「インシデントの早期検知」「インシデント発生時の適切な対処・回復」を求めたことは記憶に新しい。

　これら3つの施策に対し、米豪では「多要素認証の実行」「クラウドサービスの設定の見直し」といった技術的対策を中心に実施したのに対し、日本企業の67％は「従業員に注意喚起を行った」と回答し、人的対策に重心を置く傾向が明らかになった。

業界団体の提唱や各種ガイドラインでもますます高まるセキュリティの比重

　続けて足立氏は、情報処理推進機構（IPA）の「情報セキュリティ10大脅威2023」や、世界経済フォーラム（WEF）の「グローバルリスクレポート」、そして経済産業省がまとめた「サイバーセキュリティ経営ガイドライン v3.0」の草案や経団連の「サイバーセキュリティ経営宣言2.0」といったトピックを紹介した。これらは、気候変動などと並んでサイバー犯罪が経営者のトップリスクとして認識されるようになったことを示すものだ

　なぜここにきて、こうした動きが相次いでいるのだろうか。それはとりもなおさずサイバーセキュリティ対策の優先度が直近1年で高まっている背景があるからだ。

　特にサイバーセキュリティ経営ガイドライン v3.0では、企業経営を取り巻く環境が大きく変化し、デジタル活用が前提となり、フィジカルとサイバーのつながりが緊密化した結果、リスクが顕在化していると指摘している。

Ver3.0では、3原則においてサイバーセキュリティ対策の必要性や経営者責務の言及を強化

　「サプライチェーンを含めたアタックサーフェスが拡大していること、ランサムウェアが深刻化し、被害は情報漏えいにとどまらず、企業の事業活動を停止するまでに至っていること、またESG経営の拡大により、非財務情報の1つとして情報セキュリティを開示する取り組みが重視されていること、といった背景があります」（足立氏）

　そして、ガイドラインの根底にある原則は大きく変わらないものの、昨今の脅威の情勢やセキュリティ人材不足などを背景に、「より効果的な対策を実施する」「セキュリティ対応を一過性にするのではなく継続的に見ていく」といった要素が強調されている。

CISO不在、リーダーシップの不在が日本のセキュリティの課題に

　このように調査から明らかになった実情と、各種のガイドラインが示す姿の間にはギャップがある。そのポイントは、第一層の経営と第三層のセキュリティ担当者・現場をつなぐ第二層、つまりCISOの有無にある。米豪ではCISOドリブンの体制ができている一方、日本はまだCISOを設置していない企業が多く、リーダーシップ不在という背景があるからだろう。

　これは前述の、注意喚起に対する姿勢にも端的に表れている。「何らかの注意喚起が出されたとき、CISOドリブンの米豪であれば、経営者がCISOに必要な対応について相談でき、その結果に基づいてCISOから現場に具体的な指示を出し、技術的な対策が推進される状況があります。一方日本では二層目が不在であり、経営者が何か対策を推進したいと思っても、セキュリティ担当者に具体的に下ろすことができず、まずは注意喚起のような人的対策に向かう状況になっていると考えられます」（足立氏）

CISO未設置の日本企業では、経営と技術がつながらないため、人的対策に偏ってしまう

　調査では、ゼロトラストセキュリティの実装率が低く、またセキュリティ人材が不足していると言った企業の声が明らかになったが、これらの項目はCISOの不在、リーダーシップの不在が招いた結果ともいえると同氏は指摘した。