別紙 1.CISO が経営層として任命されていると、情報セキュリティ対策の実施率は高くなる (調査報告書 P30、P36、P37) 0% 20 % 40 % 日本 経営層としてCISO等を任命している(N=225) 経営層よりも下の階層に、CISO等を任命している(N=153) 100 % 7.1 3.6 68.6 27.5 37.3 33.3 経営層としてCISO等を任命している(N=248) 米国 80 % 89.3 CISO等を任命していない(N=150) 経営層よりも下の階層に、CISO等を任命している(N=223) 40.8 39.4 6.4 20.2 1.8 49.6 49.2 36.1 CISO等を任命していない(N=61) 0.9 54.3 78.0 経営層よりも下の階層に、CISO等を任命している(N=236) 1.6 21.0 58.3 経営層としてCISO等を任命している(N=223) 3.9 29.3 77.4 CISO等を任命していない(N=94) 欧州 60 % 1.3 49.2 14.8 会議等があり、情報セキュリティに関する意思決定の場として機能している 会議等があるが、情報セキュリティに関する意思決定の場としては機能していない 経営層が、自社の情報セキュリティリスクや対策を審議する機会がない <経営層が参加する意思決定の場の設置状況> 0% 20 % 40 % 日本 経営層としてCISO等を任命している(N=225) 経営層よりも下の階層に、CISO等を任命している(N=153) 43.3 20.3 5.2 3.3 22.0 83.5 経営層よりも下の階層に、CISO等を任命している(N=223) 46.8 経営層としてCISO等を任命している(N=223) 29.8 62.7 42.6 CISO等を任命していない(N=61) 4.0 18.1 5.3 15.2 3.6 3.1 78.0 経営層よりも下の階層に、CISO等を任命している(N=236) 30.7 8.9 5.2 2.4 26.5 4.9 4.5 64.1 CISO等を任命していない(N=94) 100 % 5.85.3 4.0 71.2 経営層としてCISO等を任命している(N=248) 米国 80 % 84.9 CISO等を任命していない(N=150) 欧州 60 % 30.1 26.2 24.6 4.7 2.5 6.6 情報セキュリティを対象に入れたリスク分析を実施している リスク分析を実施しているが、情報セキュリティは対象に入れていない リスク分析は実施していない わからない <リスク分析実施状況> 別紙 0% 20 % 40 % 日本 経営層としてCISO等を任命している(N=225) 67.3 34.7 CISO等を任命していない(N=150) 米国 69.4 経営層よりも下の階層に、CISO等を任命している(N=223) 27.5 5.2 11.3 14.3 60.6 経営層としてCISO等を任命している(N=223) 11.7 81.2 経営層よりも下の階層に、CISO等を任命している(N=236) 14.8 4.0 66.9 27.9 CISO等を任命していない(N=61) 11.7 26.9 27.7 CISO等を任命していない(N=94) 7.6 19.0 58.7 100 % 20.9 54.0 経営層としてCISO等を任命している(N=248) 欧州 80 % 71.6 経営層よりも下の階層に、CISO等を任命している(N=153) 行っている 60 % 24.6 8.5 70.5 行っていない 1.6 わからない <サイバー攻撃が発生した場合を想定した被害額推定実施状況> 2.日本は CSIRT に対する評価が厳し目である(調査報告書 P42) 0% 日本(N=401) 20% 40% 14.0 米国(N=417) 欧州(N=389) 60% 80% 67.1 45.3 100% 0.5 5.5 13.0 42.2 48.8 41.4 7.0 1.2 4.3 1.5 6.7 1.5 期待したレベルを満たしている ある程度期待したレベルを満たしている あまり期待したレベルを満たしていない 全く期待したレベルを満たしていない まだ評価できない <CSIRT 等の有効性の全体評価> 別紙 3.日本は CSIRT の有効性を左右する要素として“能力・スキルのある人員の確保”と考 える割合が欧米より 2 割程度多い(調査報告書 P43) 0% 20 % 40 % 60 % 能力・スキルのある人員の確保 73.3 56.8 54.2 十分な予算の確保 54.4 37.6 39.8 45.6 41.9 適切な対応手順の整備・見直し 55.2 20.0 25.2 28.0 十分な活動実績 26.7 32.6 28.0 社内における機能の認知 13.5 社内の既存部門との連携 24.2 23.7 10.0 12.2 10.5 外部関係機関との連携 10.2 8.4 11.1 CSIRTコミュニティにおける積極的な情報共有 日本(N=401) 4.7 7.9 6.9 事案から得られた知見に基づく改善 その他 80 % 米国(N=417) 0.0 0.2 0.5 欧州(N=389) <CSIRT 等の有効性を左右する要素> 4.情報セキュリティ人材の質的充足度は、欧米が過半数で“十分である”としているのに 対し、日本は 4 分の1にすぎない。また、大幅に不足していると回答した割合も日本は米国 の約 3 倍、欧州の約 5 倍と多い。 (調査報告書 P39) 0% 日本(N=536) 20 % 40 % 25.2 米国(N=530) 80 % 53.2 54.3 欧州(N=491) 60 % 15.1 30.4 61.9 十分である やや不足している 100 % 5.8 28.7 大幅に不足している <情報セキュリティ業務担当者の質的充足度> 6.5 9.4 3.5 5.9 わからない 別紙 5.日・米・欧で CSIRT および同等組織の設置状況に余り差はない(調査報告書 P41) 0% 日本(N=588) 米国(N=598) 欧州(N=540) 20 % 40 % 20.2 60 % 80 % 48.0 25.9 31.8 43.8 23.9 100 % 30.3 48.1 28.0 CSIRTを設置している CSIRTという名称ではないが、インシデント対応を担当する組織が決まっている インシデント対応を担当する組織は決まっていない <インシデント対応担当組織の設置状況> 6.企業のうち半数は、直近の会計年度にインシデントが発生していない(調査報告書 P51) 0% 20 % 日本(N=588) 9.2 米国(N=598) 11.2 欧州(N=540) 10.4 発生した 40 % 27.9 20.9 26.3 攻撃はあったが被害には至らなかった 60 % 80 % 52.2 54.2 100 % 10.7 13.7 51.3 発生していない <サイバー攻撃による被害発生状況> 12.0 わからない 別紙 7.CSIRT で、訓練・演習機能を有しているのは全体の 3 割程度に過ぎない (調査報告書 P44) 0% 20 % 40 % 情報セキュリティ関連情報の収集・分析 80 % 72.6 55.9 53.5 50.6 51.8 49.6 脆弱性情報ハンドリング 66.6 63.8 60.9 55.4 51.3 49.9 55.1 49.4 44.7 42.4 39.1 44.2 セキュリティ監査・評価 セキュリティツールの管理・運用 情報セキュリティ対策に関する教育、啓発 攻撃等に関する注意喚起 33.4 39.3 34.7 31.4 33.8 27.0 44.4 49.2 50.6 38.2 41.7 35.2 41.6 46.3 42.2 40.6 48.9 45.2 29.9 26.6 23.7 26.4 26.1 22.1 28.7 32.1 31.4 訓練・演習の実施 社外組織との連携窓口 インシデントの検知 社内外からのインシデント報告窓口 インシデントに対する初動対応 インシデントの調査及び分析 外部機関や関係者への連絡・調整 インシデント後の対外公表、法的対応 再発防止策の策定 わからない 60 % 4.5 6.2 3.6 <CSIRT 等が持つ機能> 日本 (N=401) 米国 (N=417) 欧州 (N=389) 別紙 8. セキュリティポリシーやリスクの開示意向では、日本と欧米で 10 ポイント以上の開きがあ る (調査報告書 P33) 75. 6% 0% 20 % 日本(N=588) 40 % 60 % 38.4 80 % 33.3 3.9 100 % 16.3 8.0 63. 3% 米国(N=598) 35.6 20.2 7.5 23.5 25.6 12.7 10P 以上の開き 63. 2% 欧州(N=540) 23.9 14.1 30.4 6.5 情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している 情報セキュリティポリシーのみ公表している 情報セキュリティ上のリスクのみ公表している いずれも公表していない わからない <平時の情報開示> 9.開示しない理由として、欧米は“自社のセキュリティやリスクの情報を開示したくない” と回答する割合が約半数(調査報告書 P33) 0% 20 % 40 % 60 % 開示義務がない 56.7 18.3 18.8 自社のセキュリティやリスクの情報を開示したくない その他 64.6 66.4 21.9 25.9 投資家等のステークホルダーからの開示要請がない 開示したいと考えているが、そのためのリソース(人 員・予算・時間等)が不足している 80 % 2.8 4.3 13.5 0.0 0.0 0.0 <情報開示を実施しない理由> 46.2 50.0 日本(N=96) 米国(N=143) 欧州(N=164)
© Copyright 2024 ExpyDoc