2016年5月10日

企業の CISO や CSIRT に関する

実態調査 2016

－調査報告書－

目 次

1. はじめに .................................................................................................................................................... 1 1.1. 調査背景・目的 ................................................................................................................................. 1 1.2. 調査の実施概要 ................................................................................................................................. 1

2. 文献調査 .................................................................................................................................................... 2 2.1. 企業経営者の情報セキュリティに対する認識・姿勢 ................................................................. 2

企業経営者の情報セキュリティに対する認識・姿勢の実態 .............................................. 2 CISO の設置状況 ......................................................................................................................... 4 情報セキュリティに関する開示の状況 .................................................................................. 4 政府等の取り組み ...................................................................................................................... 5

2.2. 組織体制・対策に関する最新の動向 ............................................................................................. 8 CSIRT の設置状況 ....................................................................................................................... 8 政府等の取り組み .................................................................................................................... 10

2.3. 文献調査を踏まえた調査のポイント ........................................................................................... 12 3. アンケート調査及び分析 ...................................................................................................................... 13

3.1. NCA 会員企業向けアンケート調査の概要・分析 ....................................................................... 13 調査の概要 ................................................................................................................................ 13 調査結果 .................................................................................................................................... 14

3.2. 日米欧の企業向けアンケート調査の概要・分析 ....................................................................... 27 調査の概要 ................................................................................................................................ 27 調査結果 .................................................................................................................................... 28

3.3. アンケート結果に対する考察 ....................................................................................................... 53 4. ヒアリング調査 ...................................................................................................................................... 56

4.1. 国内企業へのヒアリング調査 ....................................................................................................... 56 調査の概要 ................................................................................................................................ 56 ヒアリング結果 ........................................................................................................................ 56 結果の考察 ................................................................................................................................ 67

4.2. 米欧企業へのヒアリング調査 ....................................................................................................... 70 調査の概要 ................................................................................................................................ 70 ヒアリング結果 ........................................................................................................................ 70 結果の考察 ................................................................................................................................ 86

5. まとめ ...................................................................................................................................................... 89

1

1.はじめに

1.1. 調査背景・目的

近年、企業活動における IT の積極活用は、企業の成長や事業の発展、及びグローバル化に対応

した経営変革のために必須であるとされている。一方で、IT 活用を進めるほど情報セキュリティ

上のリスクは高まり、セキュリティインシデントが企業活動に与えるインパクトは増大する。事

実、企業の事業継続に影響を与える事例が後を絶たない。

IT を積極活用した経営の攻めと情報セキュリティの守りとを高いレベルで両立するには、経営

層が情報セキュリティを経営戦略として捉え、主体的に取り組むことが肝要であるとの指摘がな

されている。

独立行政法人情報処理推進機構（以下「IPA」という。）では、企業経営者の情報セキュリティ

に対する認識や姿勢と、情報セキュリティの組織的対策への取り組みの実態を明らかにするとと

もに、日本企業と海外諸国（米国、欧州）の企業との状況を比較し、そのデータを広く公開する

ことで、わが国企業の情報セキュリティに対する取り組みのレベル向上に資することを目的とし

て、「企業の CISOや CSIRTに関する実態調査 2016」（以下、「本調査」という。）を実施した 1。

1.2.調査の実施概要

本調査では、日本及び海外の企業経営者の情報セキュリティに対する認識や姿勢、組織的な対

策への取り組み状況を把握し、より有効な取り組みなどを明らかにするため、図 1.2-1 に示す 3 段

階の調査を行い、その結果を本報告書に取りまとめた。

1. 文献調査（2 章）： 国内外の公開レポート等に対する調査

2. アンケート調査（3 章）： ・日本コンピュータセキュリティインシデント対応チーム協議会

（略称:日本シーサート協議会、NCA）会員企業向けアンケート調査 ・本アンケート調査（日米欧の企業向けアンケート調査）

3. ヒアリング調査（4 章）： CISO2・CSIRT3設置企業に対する国内外ヒアリング調査

1 本調査は「情報セキュリティ事象被害状況調査」の後継調査の位置づけ。従前の調査は 2014 年度版が最後。 2 Chief Information Security Officer の略。最高情報セキュリティ責任者。 3 Computer Security Incident Response Team の略。サイバー攻撃による情報漏えいや障害など、コンピュー

タセキュリティにかかるインシデントに対処するための組織。

Phase2 アンケート調査 Phase3 ヒアリング調査

• CSIRT及びCISOの両方を設置している企業を対象にヒアリング調査を実施

• 情報セキュリティに対する取り組みの実態を把握（ベストプラクティスの収集）

• 日本・アメリカ・欧州で、各3社以上

• 文献調査を基に調査票を設計• 情報セキュリティに関する経営者の

認識、CSIRTの状況・効果等を把握• 日本シーサート協議会（NCA）の会

員企業を対象として実施

2-1. 日本シーサート協議会会員企業向けアンケート調査

2-2.日米欧の企業向けのアンケート調査

3. CISO・CSIRT設置企業に対するヒアリング調査

• 文献調査及びNCA会員企業向けアンケート調査結果を基に調査票を設計

• 日本及び海外の企業経営者の情報セキュリティに対する認識や姿勢、組織的な対策への取り組み状況を把握

• 日本、米国、欧州の従業員300人以上の企業に対するウェブアンケート調査を実施

Phase1 文献調査

• 以下の観点において、公開レポート等を中心に文献調査を実施

① 企業経営者の情報セキュリティに対する認識・姿勢

② 組織体制・対策に関する最新の動向

③ 個別企業の事例

1. 文献調査

図 1.2-1 調査実施フロー

2

2.文献調査

文献調査においては、以下の観点に関する国内外の公開レポート等の情報を調査し、最新の動

向及び政府等の取り組みを整理した。また、調査結果は 3 章以降のアンケート調査及びヒアリン

グ調査の項目検討の参考とした。

企業経営者の情報セキュリティに対する認識・姿勢

組織体制・対策に関する最新の動向

2.1.企業経営者の情報セキュリティに対する認識・姿勢

企業活動における IT への依存度が高まる中、情報セキュリティインシデントが企業活動に与え

るインパクトは年々増大している。今後、企業のグローバル化が進展するのに伴い、この傾向は

より顕著になるものと想定され、企業が情報セキュリティ対策を実施する上で、企業経営者が情

報セキュリティを経営戦略として捉え、主体的に取り組むことの重要性が各方面で指摘されてい

る。

企業経営者の情報セキュリティに対する認識・姿勢の実態

日本情報システム・ユーザー協会が東証一部上場企業とそれに準じる企業を対象に実施した「企

業 IT 動向調査 2015」4（有効回答社数：1,125 社）によれば、回答企業において経営幹部が情報セ

キュリティ対策に積極的に関わっている（「経営幹部が昨今の企業を取り巻くセキュリティリスク

の深刻さを重要視しており、重大なセキュリティリスクや対策の重要性については、経営会議等

で審議・報告される」と回答）割合は 30.6％であり、約 7 割の企業が自社の情報セキュリティ対

策を IT 部門や担当部門に任せている実態がうかがえる。同じ結果を回答企業の企業規模（売上高）

別にみると、企業規模が大きいほど、経営幹部が情報セキュリティへ関与する割合が高くなる傾

向にあり、特に中小企業における意識向上が今後の課題になると考えられる。（図 2.1-1 参照）

4 一般社団法人日本情報システム・ユーザー協会「第 21 回企業 IT 動向調査 2015（14 年度調査）―データで探

るユーザー企業の IT 動向―」（2015 年 4 月 15 日） http://www.juas.or.jp/servey/it15/it15_ppt.pdf

3

出所）一般社団法人日本情報システム・ユーザー協会

図 2.1-1 セキュリティと経営の関係（売上高別）

グローバル企業においても、経営層の情報セキュリティに対する認識は課題となっている。米

国カーネギーメロン大学の CyLab が 2012 年に Forbes Global 20005企業の経営層（board member ま

たは senior executive）を対象に実施したアンケート調査 6では、経営層によって積極的に取り組ま

れている項目として、「リスクマネジメント」、「M&A」、「長期的戦略及び事業目標」、「コンプライ

アンス」の項目が 9 割以上挙げられているのに対し、「コンピュータ・情報セキュリティ」を上げ

た経営層は 33％に留まっている（図 2.1-2 参照）。

出所）カーネギーメロン大学 CyLab

図 2.1-2 経営層によって積極的に取り組まれている事項

5 Forbes 誌が世界の公開会社について、売上高、純利益、資産、時価総額を踏まえて毎年公表する上位 2,000 社

の企業ランキング。 6 Jody R. Westby (CyLab), “Governance of Enterprise Security: CyLab 2012 Report ―How Boards & Senior Executives Are Managing Cyber Risks,” May 16, 2012. http://globalcyberrisk.com/wp-content/uploads/2012/08/CMU-GOVERNANCE-RPT-2012-FINAL1.pdf

4

また、PwC（PricewaterhouseCoopers）が実施した「グローバル情報セキュリティ調査 2015」7の

結果においても、取締役会が全体のセキュリティ戦略に積極的に参加しているとの回答は 42％、

取締役会がセキュリティポリシーに関与しているとの回答は 36％であった。

経営層の認識を変え、情報セキュリティを経営戦略の優先事項として位置付けることは、国内

外問わず、難しい課題となっている。

一方、情報セキュリティ対策に対する投資に関しては、日本と海外企業の意識の差を示す調査

結果も報告されている。前述の PwC の調査（2015 年）では、企業におけるセキュリティ投資は、

グローバル企業の平均投資額 4.2 億円であるのに対して日本企業では 2.1 億円と 2 分の 1 にとど

まっており、日本企業が年々複雑化し増大するサイバー空間の脅威に対して、十分な投資を実施

していないと指摘している。

CISOの設置状況

情報セキュリティ対策の推進において、経営層に求められる最も重要な役割は、投資やリソー

ス配分に関する意思決定であり、こうした意思決定を支援する上で、社内の情報セキュリティに

関する取りまとめ・調整機能が重要となる。この機能を持つのが、経営層と管理者・現場をつな

ぐ CISO（Chief Information Security Officer）である。

IPA が 2014 年に実施した「2014 年度情報セキュリティ事象被害状況調査」8においては、国内

企業における CISO（専任者・兼任者含む）の設置割合は 41.6％（300 人以上企業においては 47.6％）

であり、そのうち 37.3％は兼任者であった。一方、前述の Cylab の調査（2012 年）では、米国、

欧州及びアジア地域における CISO の設置割合はそれぞれ 58％、72％、52％となっており、日本

を含むアジア地域の CISO の設置割合は米欧と比較して低い水準となっている。また、CISO のレ

ポートラインとして、米欧においては、CIO（Chief Information Officer）が一般的なのに対し、ア

ジア地域では、CEO（Chief Executive Officer）が主要なレポートラインとなっている。他のデータ 9

も参考にすると、日本では、CISO が CIO や CPO（Chief Privacy Officer）等の他の役職を兼務して

いるケースが多いと考えられる。

情報セキュリティに関する開示の状況

経営層の情報セキュリティに対する認識を図る指標として、情報セキュリティの基本方針や対

策状況、情報セキュリティリスクの開示の実施状況がある。

7 PwC「グローバル情報セキュリティ調査 2015―相互につながった世界におけるサイバーリスクマネジメント

―」 http://www.pwc.com/jp/ja/advisory/research-insights-report/assets/pdf/information-security-survey2015.pdf 8 独立行政法人情報処理推進機構「2014 年度情報セキュリティ事象被害状況調査報告書」（2015 年 1 月） http://www.ipa.go.jp/security/fy26/reports/isec-survey/ 92006 年に日本経団連の情報通信委員会の企業に対して実施した調査によると、回答企業のうち 75％が CISO を

設置しており、そのうち「専任の CISO を設置している」のは 7%、「情報システム担当者（CIO）が兼務してい

る」が 37％、「プライバシー（個人情報保護）担当責任者（CPO）が兼務している」が 14%であった。 情報セキュリティ政策会議人材育成・資格制度体系化専門委員会「人材育成・資格制度体系化専門委員会報告書

―人は城、人は石垣、人は堀―」（2007 年 1 月） http://www.nisc.go.jp/conference/seisaku/training/common/pdf/training_report_final.pdf

5

米国においては、証券取引委員会（SEC）が登録会社（上場企業）に対して、投資判断に影響を

及ぼしうるようなサイバーセキュリティリスク情報について、任意ではあるが、可能な範囲で投

資家と情報を共有するよう求めており、開示に関するガイダンスも提供している。

国内においても有価証券報告書に企業の事業リスクを開示することが義務付けられているが、

サイバーセキュリティリスクを記載するかは各企業の判断に任されている。

内閣サイバーセキュリティセンターの委託調査「企業の情報セキュリティリスク開示に関する

調査」10によれば、日経 225 社（平成 26 年 11 月 1 日時点）のうち、平成 25 年度の有価証券

報告書にサイバーセキュリティリスクを開示している企業は 60％（136 社）で、平成 21 年度の

52％（116 社）から増加している。一方、そのうちサイバーセキュリティリスクの記載文が 5 年間

同一の企業が 28.9％（65 社）ある。さらに、その多くは包括的かつ簡潔で意味が広くとらえられ

る記載となっており、形だけの開示に過ぎないケースもあると考えられる。開示企業全体におい

ても、社内におけるインシデント発生事案といった、具体的なリスク情報を開示する企業はごく

わずかであった。

有価証券報告書以外にも、情報セキュリティに対する取り組みを企業のホームページや「情報

セキュリティ報告書」という形で定期的に公表する企業もある。

情報セキュリティの開示は、企業の自主判断に任されているからこそ、どのような考え方や目

的の下で開示を行っているかは、経営層の認識を知るうえで重要な情報となる。

政府等の取り組み

政府では、経済産業省を中心に 10 年以上前から、企業経営者による情報セキュリティに対する

積極的な関与の促進に取り組んでいる。2004 年に経済産業省に設置された「企業における情報セ

キュリティガバナンスのあり方に関する研究会」では、情報セキュリティ対策を単なるコストで

はなく、企業価値を高めるために積極的に取り組むべき投資対象として位置付けるための環境整

備や推進体制の構築・運用に関して検討を行い、「コーポレート・ガバナンスと、それを支えるメ

カニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」

として、企業経営における「情報セキュリティガバナンス」という新たな概念を示している 11。

さらに、2009 年 5 月には経済産業省が「情報セキュリティガバナンス導入ガイダンス」12を公表

し、情報セキュリティガバナンスのフレームワークとして、経営戦略やリスク管理の観点から行

う「方向付け（Direct）」、ガバナンス活動の状況を指標に基づき可視化する「モニタリング（Monitor）」

や結果を判断する「評価（Evaluate）」、これらのプロセスが機能していることを確認する「監督

（Oversee）」、結果を利害関係者等に提示する「報告（Report）」からなる、経営陣が取り組むべき

10 ニュートン・コンサルティング株式会社（内閣サイバーセキュリティセンター委託調査）「企業の情報セキュ

リティリスク開示に関する調査―調査報告書―」（2015 年 3 月） http://www.nisc.go.jp/inquiry/pdf/kaiji_honbun.pdf 11 「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」（2005 年 3 月） http://www.meti.go.jp/report/downloadfiles/g50331d00j.pdf 12 経済産業省「情報セキュリティガバナンス導入ガイダンス」（2009 年 6 月） http://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf

6

行動の指針を示した（図 2.1-3 参照）。

なお、組織における情報セキュリティガバナンスの概念や原則、活動に関するガイダンスであ

る国際標準 ISO/IEC 27014 が「情報セキュリティガバナンス導入ガイダンス」で示されたフレー

ムワークを基に、ISO/IEC JTC1 に国際提案され、2013 年に発行された。さらに、JIS 化も進めら

れ、2015 年には「JIS Q 27014:2015 情報セキュリティガバナンス」が発行されている。

出所）経済産業省

図 2.1-3 情報セキュリティガバナンスのフレームワーク

経営層による情報セキュリティへの関与強化に関する別の視点からの取り組みとして、2012 年

IPA は、法学・経営学・会計学・心理学等の専門家からなる「日本的経営と情報セキュリティ研究

会」を設置し、「日本的経営」において経営者が情報セキュリティを経営戦略にとらえ、いかに企

業に情報セキュリティを定着させるべきか検討を行っている 13。研究会の報告書では、経営層の

リーダーシップによって「セキュリティ経営」を実現するための企業のリスクマネジメントの在

り方として、①経営者による合理的なリスク判断、②社内の情報共有における「Need to Know」の

原則の確立、③残留リスクの認識、④適切なセキュリティ投資の算定が必要となるとの考えを示

している。

2014 年には、「サイバーセキュリティ基本法」が成立したことを踏まえ、経済産業省及び IPA が

共催で「サイバーセキュリティリスクと企業経営に関する研究会」を設置し、重要インフラ等民

間事業者におけるセキュリティ対策促進の観点から、国内外の状況整理、政策のあり方の検討を

行った。この検討の成果として、2015 年 12 月に「サイバーセキュリティ経営ガイドライン」が策

定され、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3 原則」（表 2.1-1 参

13 独立行政法人情報処理推進機構 日本的経営と情報セキュリティ研究会「日本的経営と情報セキュリティ研究

会報告書」（2013 年 2 月 27 日） http://www.ipa.go.jp/files/000027858.pdf

7

照）、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO 等）に

指示すべき「重要 10 項目」（表 2.1-2 参照）が示された。

表 2.1-1経営者が認識する必要がある「3原則」

（１）

セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話

は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ

投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与

えるリスクが見過ごされてしまう。

（２） 子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバ

ー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業

やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。

（３） ステークホルダー（顧客や株主等）の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感

を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケー

ションが必要である。

表 2.1-2 情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO 等）

に指示すべき「重要 10項目」

指示１ サイバーセキュリティリスクへの対応について、組織の内外に示すための方針（セキュリティポリシ

ー）を策定すること。

指示２ 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としての

CISO 等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。

指示３ 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへ

の対処に向けた計画を策定すること。

指示４ 計画が確実に実施され、改善が図られるよう、PDCA を実施すること。また、対策状況については、

CISO 等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべ

く適切に開示すること。

指示５ 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様に PDCA の運用を含むサイバー

セキュリティ対策を行わせること。

指示６ PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成な

ど資源の確保について検討すること。

指示７ IT システムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に

委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻

撃を想定したサイバーセキュリティの確保を確認すること。

指示８ 攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映す

ること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被

害が社会全体に広がることの未然防止に貢献すること。

指示９

サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT（サイバー攻撃による

情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織）の

整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的

な演習を実施すること。

指示１０ サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするととも

に、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。

上記の 3 原則（3）においても、経営者に対して、平時からステークホルダーに向けたセキュリ

ティ対策に関する情報開示を推奨しているが、これについては企業に具体的な対応を求める動き

もある。サイバーセキュリティ基本法に基づき新たに策定された「サイバーセキュリティ戦略」

の年次計画として 2015 年 9 月に決定された「サイバーセキュリティ 2015」14においては、内閣官

14 サイバーセキュリティ本部「サイバーセキュリティ 2015」（2015 年 9 月 25 日） http://www.nisc.go.jp/active/kihon/pdf/cs2015.pdf

8

房及び金融庁において、「上場企業におけるサイバー攻撃によるインシデントの可能性等について、

米国の証券取引委員会（SEC）における取り組み等を参考にしつつ、事業等のリスクとして投資家

に開示することの可能性を検討し、結論を得る。」と示されており、情報セキュリティに関する開

示の指針が示されることで、経営層の意識改革の契機となる可能性もある。

さらに、民間主導による取り組み強化の動きも見られている。2015 年 2 月に日本経済団体連合

会が公表した「サイバーセキュリティ対策の強化に向けた提言」15では、サイバーセキュリティの

確保は全ての企業にとって、企業の信用の維持や、事業の継続に関わる重要な課題であり、サイ

バーセキュリティを技術上の問題だけではなく、経営上の重要課題として位置付け経営層の意識

改革を図るとし、経営層の強力なリーダーシップにおける CISO の設置等の組織改革・人材育成、

CSIRT（Computer Security Incident Response Team）の設置等についても言及している。

2.2.組織体制・対策に関する最新の動向

情報セキュリティ対策を実施する組織体制・対策として、近年セキュリティインシデント対応

機能の重要性が高まっており、CSIRT の設置が広がっている。

CSIRT の設置状況

NRI セキュアテクノロジーズが 2014 年に上場企業を中心とする 3,000 社の情報セキュリティ担

当者を対象に実施したアンケート調査においては、CSIRT を構築済み 16であると回答した企業は

41.8％であり、前年調査の 19.0％から大幅に増加している 17。

国内の CSIRT 設置企業からなる日本シーサート協議会（NCA：Nippon CSIRT Association）（3.1

参照）においても、2014 年 8 月時点で 59 組織であった加盟組織が 2015 年 8 月時点では 95 組織

と 1 年で約 1.6 倍に増加している 18。また、加盟組織のうち、CSIRT 設立年が 2013 年以降の組織

が 8 割強を占めており、まだ多くの組織で組織体制の整備を進めながら実績を積み上げている段

階にあると考えられる 19。（図 2.2-1 参照）

15 一般社団法人日本経済団体連合会「サイバーセキュリティ対策の強化に向けた提言」（2015 年 2 月 17 日） https://www.keidanren.or.jp/policy/2015/017_honbun.pdf 16 すでに構築済みである及び類似機能を情報システム部門で実施を含む。 17 NRI セキュアテクノロジーズ「社内 CSIRT を構築済みの企業が全体の 4 割を超える（NRI セキュアテクノロ

ジーズ株式会社）― 企業における情報セキュリティ実態調査 2014 ―」（2015 年 1 月 27 日） https://www.nri.com/jp/info/2015/150127.aspx 18 2016 年 2 月 1 日時点の加盟組織は 120 組織となっている。 19 日本シーサート協議会「日本シーサート協議会加盟組織一覧 2015」（2015 年） http://www.nca.gr.jp/imgs/nca_teams_2015.pdf

9

出所）日本シーサート協議会

図 2.2-1 日本シーサート協議会加盟組織数の推移（左）及び設立年の分布（右）

海外のデータとして、Economist 誌が 2013 年に 360 人の経営層（senior business leaders）を対象

に実施した調査 20によれば、正式なインシデントレスポンスチームを設置する組織は 65％、設置

準備を進めている組織は 18％であった（図 2.2-2 参照）。

同調査では、インシデントに対して十分に準備する上で企業にとって重要なこととして、「自社

における潜在的脅威に対する十分な理解」が 41％と最も多く挙げられている。また、「経営層の関

与や関心の向上」も 25％の回答者が選択している（図 2.2-3 参照）。

一方、自社のインシデント対応の機能において、不十分な点という設問に対しては、「ビジネス

に対する影響の適正な推測」が 49％、「インシデントの 24 時間以内の検知」が 36％であった（図

2.2-4 参照）。

出所）Economist Intelligence Unit

図 2.2-2 インシデントレスポンスの準備状況

20 Economist Intelligence Unit, “Cyber Incident Response – Are Business Leaders Ready?” , 2014. http://www.economistinsights.com/technology-innovation/analysis/cyber-incident-response

10

出所）Economist Intelligence Unit

図 2.2-3 インシデントに対して十分に準備する上で、企業にとって重要なこと

出所）Economist Intelligence Unit

図 2.2-4 自社のインシデント対応の機能において、不十分な点

政府等の取り組み

国内では、JPCERT コーディネーションセンター（JPCERT/CC）が企業における「組織内 CSIRT」

の設置に関する普及活動を行っており、組織内 CSIRT の構想、構築、運用に関するマニュアルと

して「CSIRT マテリアル」を提供している。

2007 年には国内で当時設置されていた CSIRT 6 組織が発起人となる形で、日本シーサート協議

会が設立された。同協議会においては、セキュリティインシデントの発生に備えて CSIRT 間の情

11

報共有や連携の体制を構築するとともに、新たに組織内 CSIRT を設立する組織の支援や、サイバ

ーセキュリティに関する各種の普及活動も行っている。

他方、政府においても 2012 年の情報セキュリティ政策会議において、政府機関がインシデント

に機動的に対応するため、各省庁に CSIRT の機能を設置するよう要請し 21、さらに企業等におい

ても CSIRT の機能を保有する取り組みを促進している。省庁における CSIRT の設置は 2013 年 3

月に完了し、CSIRT の連絡窓口担当者による情報共有のための各府省庁 PoC（Point of Contact）会

議も開催されている。

また、金融庁は 2015 年 2 月に「主要行等向けの総合的な監督指針」及び「金融検査マニュアル」

等の一部改正を公表し、同年 4 月から運用を開始している。この中で取締役会等が整備すべきサ

イバーセキュリティ管理体制の例として、組織内 CSIRT が挙げられており、金融機関及び関連組

織における CSIRT 設置の流れが進むと考えられる。

21 情報セキュリティ対策推進会議官民連携強化のための分科会「情報セキュリティ対策に関する官民連携の在り

方について」（2012 年 1 月 19 日） http://www.nisc.go.jp/conference/seisaku/dai28/pdf/28shiryou1-1.pdf

12

2.3.文献調査を踏まえた調査のポイント

文献調査で得られた知見を踏まえ、アンケート調査及びヒアリング調査においては表 2.3-1 に

示す点を確認するように設問／質問項目の設計を行った。また、本アンケート調査（日米欧の企

業向けアンケート調査）においては、前述の「サイバーセキュリティ経営ガイドライン」（2015 年

12 月）策定時に検討された内容についても、設問項目に織り込んでいる。

表 2.3-1 文献調査を踏まえたアンケート調査及びヒアリング調査における確認事項

調査項目 文献調査の考察 アンケート調査における確

認事項（全体動向） ヒアリング調査における確

認事項（個別事例） 企業経営者の情

報セキュリティ

に 対する認識・姿勢

・ 経営層が情報セキュリテ

ィを経営戦略上の優先事

項として認識していない。 ・ 国内のCISOの設置率は米

欧に比べて低い水準にあ

り、また兼務が一般的であ

るため権限、役割が不透明 ・ 情報セキュリティの開示

が進む一方で、形式上でし

か実施されていないケー

スもある。

・ 情報セキュリティに対す

る経営層の認識（経営会

議等における審議の実施

状況） ・ CISO 等の設置状況、役割・

権限 ・ 情報セキュリティに関す

る開示の状況、開示理由

・ 情報セキュリティに対す

る経営層の認識（他の経

営課題や事業リスクと比

較した場合の、情報セキ

ュリティリスクの重要

性） ・ CISO 等に与えられてい

る役割、権限、経営層との

コミュニケーションの状

況

組織体制・対策に 関する最新の動

向

・ インシデントレスポンス

に対する意識の高まりか

ら、CSIRT の設置が急速に

進んでいる。 ・ 国内においては設置して

から日の浅い CSIRT が多

く、機能の有効性において

課題が残る。 ・ CSIRT の活動の有効性を

高める上で経営層の理解

が重要となる。

・ CSIRT の設置状況 ・ CSIRT の機能及び有効性、

有効性に寄与する要素 ・ CSIRT のインシデント対

応経験 ・ CSIRT の活動に対する経

営層の評価の実施有無

・ CSIRT の設置経緯・目的 ・ CSIRT の体制 ・ CSIRT の活動に対する経

営層の理解

セキュリティ対

策全般 ― ・ 情報セキュリティ投資

・ 情報セキュリティ体制 ・ 情報セキュリティ対策の

実施状況 ・ 情報セキュリティ被害の

状況 ・ ガイドライン・標準の参

照

・ 情報セキュリティ対策全

般における特徴的なベス

トプラクティス

13

3.アンケート調査及び分析

企業経営者の情報セキュリティに対する認識や姿勢、組織的な取り組み状況を考慮した動向を

把握するため、日本シーサート協議会（NCA）会員企業向けアンケート調査と本アンケート調査

を実施した。

3.1.NCA 会員企業向けアンケート調査の概要・分析

調査の概要

情報セキュリティの取り組みが進んでいると考えられる CSIRT 設置企業を対象に、情報セキュ

リティに対する経営者の認識、CSIRT や組織的な情報セキュリティ対策の実施状況・効果等を明

らかにするため、NCA に協力頂き、NCA 会員企業に設置されている CSIRT を対象に、アンケー

ト調査を実施した。

得られたアンケート調査結果は 3.2 に示す本アンケート調査の調査項目の参考とした。

調査の概要を表 3.1-1 に示す。

回答企業の属性等、アンケート調査結果の詳細に関しては付録 1 を参照のこと。

表 3.1-1 NCA会員企業向けアンケート調査の概要

調査目的

情報セキュリティの取り組みが進んでいると考えられる CSIRT 設置企業におけ

る、情報セキュリティに対する経営者の認識、CSIRT や組織的な情報セキュリテ

ィ対策の実施状況・効果等を把握し、その結果を分析することで、我が国企業の情

報セキュリティに対する取り組みレベルの向上に資するデータを取得する。

調査主体 独立行政法人情報処理推進機構（IPA） （アンケート調査は IPA の委託により株式会社三菱総合研究所が実施）

調査対象 日本シーサート協議会（NCA）会員の CSIRT 設置企業 97 社 （2015 年 10 月時点の全加盟組織）

調査期間 2015 年 10 月 14 日～2015 年 11 月 2 日

調査方法 電子メールによる調査票送付・回収 （調査票の送付・回収は IPA が実施し、集計及び分析は株式会社三菱総合研究所

が実施）

回収結果 有効回答 67 件（回収率 69％）

調査項目 ・回答企業の基本情報 ・情報セキュリティに対する経営者の認識 ・CSIRT の取り組み等

14

調査結果

回答企業の属性

回答企業の業種は、情報通信業、製造業、金融・保険業が多く、企業規模は「従業員数 301 名

以上」が 95.6％と大企業中心である（図 3.1-1 及び図 3.1-2 参照）。

図 3.1-1 回答企業の業種

図 3.1-2 回答企業の総従業員数

0.0

0.0

1.5

19.4

0.0

0.0

35.8

3.0

1.5

16.4

1.5

1.5

0.0

1.5

1.5

1.5

0.0

11.9

3.0

0% 20% 40% 60% 80% 100%

農業、林業及び漁業

鉱業及び採石業

建設業

製造業

電気、ガス、蒸気及び空調供給業

水供給、下水処理並びに廃棄物管理及び浄化活動

情報通信業

運輸・保管業

卸売・小売業

金融・保険業

不動産業

専門・科学・技術サービス業

管理・支援サービス業※

宿泊・飲食サービス業

芸術・娯楽及びレクリエーション

教育

保健衛生及び社会事業

その他のサービス業

その他

N=67

※例：物品賃貸・リース業、旅行代理店業等

0.0%

3.0%1.5%

23.9%

23.9%

47.8%

N=67

50名以下

51名～100名以下

101名～300名以下

301名～1,000名以下

1,001名～5,000名以下

5,001名以上

15

経営層の情報セキュリティに対する関与

経営層 22の情報セキュリティに対する関与状況について、回答企業の 89.6％が、「（経営層が、

自社の情報セキュリティリスクや対策を審議する）会議等があり、情報セキュリティに関する意

思決定の場として機能している」と回答しており、経営層が情報セキュリティに積極的に関与す

る土壌があるといえる（図 3.1-3 参照）。

一方、アンケート全体の自由記述では「情報セキュリティの重要性への意識は高まってきたが、

具体的な事柄についての認識はこれから」、「情報セキュリティに対して一定の認識を経営層はも

つが、コストと実行性のバランスを考えると大きな対応が難しいのが現状」、「情報セキュリティ

の重要性や必要性について、経営層に正しく理解してもらうのが困難な場合がある」等の回答も

あり、現場が求める情報セキュリティ対策の必要性や実現方法について、経営層の十分な理解を

得るにはまだハードルがある状況も見えている（付録 1 問 19 自由記述参照）。

図 3.1-3 経営層の情報セキュリティに対する関与

CISOの設置状況

経営層として、CISO 等（CISO または同等の責任者）を設置している回答企業の割合は 62.7％

であり、さらに経営層以下の CISO 等も含めると設置割合は 73.1％になる（図 3.1-4 参照）。

業種別にみると、「情報通信業」において CISO の設置が進んでおり、中でも経営層としての

CISO 等の設置割合が高い傾向がある（図 3.1-5 参照）。

22 ここでは「経営層」を、組織の経営または業務執行に責任を持つ、取締役、執行役、執行役員を含めた階層

としている。

89.6%

9.0%

1.5%

N=67

会議等があり、情報セキュリティに関する意思

決定の場として機能している

会議等があるが、情報セキュリティに関する

意思決定の場としては機能していない

経営層が、自社の情報セキュリティリスクや対

策を審議する場がない

16

図 3.1-4 CISO 等の設置状況

図 3.1-5 CISO 等の設置状況（業種別）

経営層・CISO等と CSIRTの関係

CISO 等が直接または間接的に CSIRT の指揮・監督を行っている企業が 59.7％となり、何らか

の形で CISO 等と CSIRT の関係が構築されている状況がうかがえる（図 3.1-6 参照）。

さらに、業種別にみると、「製造業」においては CISO 等が直接的に、「情報通信業」においては

CISO 等が間接的に、「金融・保険業」においては CISO 等以外の経営層が間接的に CSIRT を指揮・

監督する関係が主流となっており、業種によって CISO 等と CSIRT の位置づけは異なる（図 3.1-7

参照）。

62.7%10.4%

23.9%

3.0%

N=67

経営層としてCISO等を設置して

いる

経営層よりも下の階層に、CISO等を設置している

CISO等を設置していない

わからない

53.8

15.4

30.8

0.0

75.0

16.7

4.2

4.2

63.6

0.0

36.4

0.0

52.6

5.3

36.8

5.3

0% 20% 40% 60% 80% 100%

経営層としてCISO等を設置している

経営層よりも下の階層に、CISO等を

設置している

CISO等を設置していない

わからない

製造業(N=13)

情報通信業(N=24)

金融・保険業(N=11)

その他(N=19)

17

図 3.1-6 CISO 等と CSIRTの関係

図 3.1-7 CISO 等と CSIRTの関係（業種別）

また、経営層と CSIRT の関係に関しては、回答企業の 64.2％で、定期／非定期の経営層による

CSIRT の評価を実施している（図 3.1-8 参照）。その内 83.8％の企業では、評価結果が CSIRT の活

動の改善に反映されているとし、経営層と CSIRT の間で活動の評価・改善の流れが構築されてい

る（図 3.1-9 参照）。

37.3%

13.4%

22.4%

11.9%

10.4%4.5%

N=67

CISO等が直接CSIRTに指揮・監督を行う

CISO等以外の経営層が直接CSIRTに指揮・監督

を行う

CISO等が関係部門を通して、間接的にCSIRTの指揮・監督を行う

CISO等以外の経営層が関係部門を通して、間

接的にCSIRTの指揮・監督を行う

CISO等及び経営層はCSIRTに対して指揮・監督

を行わない

わからない

53.8

7.7

15.4

7.7

15.4

0.0

29.2

16.7

37.5

8.3

4.2

4.2

27.3

18.2

9.1

36.4

9.1

0.0

42.1

10.5

15.8

5.3

15.8

10.5

0% 20% 40% 60% 80% 100%

CISO等が直接CSIRTに指揮・監督を行う

CISO等以外の経営層が直接CSIRTに指揮・監督を行う

CISO等が関係部門を通して、間接的にCSIRTの指揮・監督を行う

CISO等以外の経営層が関係部門を通して、間接的にCSIRTの指揮・監督を行う

CISO等及び経営層はCSIRTに対して指揮・監督を行わない

わからない

製造業(N=13)

情報通信業(N=24)

金融・保険業(N=11)

その他(N=19)

18

図 3.1-8 経営層による CSIRT活動の評価

図 3.1-9 経営層による CSIRT活動の評価に基づく改善の実施

組織における CSIRTの位置づけ

回答企業のうち、2 年以内に設置された CSIRT が 65.6％を占めており、CSIRT の設置が急速に

進んでいる状況がうかがえる（図 3.1-10 参照）。特に、金融・保険業において設置してから日の浅

い組織が多い（図 3.1-11 参照）。2015 年 2 月の金融庁ガイドライン（「主要行向けの総合的な監督

指針」及び「金融検査マニュアル」等）の改正において、緊急時対応体制として CSIRT が言及さ

れているため、今後も金融機関を中心に CSIRT 設置の動きが高まっていく可能性がある。

37.3%

0.0%26.9%

35.8%

N=67

年単位、またはそれ以上（半期、四半期等）

のペースで実施している

複数年単位（3か年、5か年等）のペースで

実施している

定期的ではないが、適宜実施している

実施していない

41.9%

41.9%

11.6%

0.0%4.7%

N=43

十分に反映されている

ある程度反映されている

あまり反映されていない

全く反映されていない

無回答

19

図 3.1-10 CSIRT設置期間

図 3.1-11 CSIRT設置期間（業種別）

回答企業の CSIRT の組織的位置づけとしては、「情報システム部門内」（37.3％）、「経営層直属

の独立組織」（10.4％）、「事業部門内」（10.4％）、「経営企画・リスク管理部門内」（9.0％）の順に

多い。「その他」（25.4％）の回答としては、情報セキュリティ部門内や部門・全社横断的な仮想的

な組織として活動している等の回答が複数挙げられている（図 3.1-12 参照）。

31.3%

34.3%

19.4%

14.9%

N=67

1年以内

1年～2年

3年～5年

6年以上

38.5

15.4

38.5

7.7

29.2

29.2

20.8

20.8

36.4

54.5

9.1

0.0

26.3

42.1

10.5

21.1

0% 20% 40% 60% 80% 100%

1年以内

1年～2年

3年～5年

6年以上

製造業(N=13)

情報通信業(N=24)

金融・保険業(N=11)

その他(N=19)

20

図 3.1-12 CSIRTの組織内の位置づけ

また、インシデント対応時に CSIRT が連携する組織として、「情報システム部門」（95.5％）、「経

営企画・リスク管理部門」（89.6％）が特に多く挙げられたほか、「広報・渉外部門」（71.6％）、「法

務部門」（53.7％）に関しても、過半数の CSIRT で連携体制が構築されている。CSIRT を中心とし

て、社内外の対応をカバーする全社的な連携体制が構築されている状況がうかがえる（図 3.1-13

参照）。

図 3.1-13 インシデント対応時の連携先

インシデント対応時の CSIRT の権限に関しては、回答企業の 73.1％において、インシデント対

応にあたって何らかの権限を有している。ただし、権限の範囲が一部に限定されたり、または特

定の条件を満たしたときにのみ、既存の判断・意思決定者から権限が委譲される形、又は権限は

持たず支援のみを行う形が多く、インシデント対応の判断・意思決定に全面的な権限を持つ CSIRT

10.4%

9.0%

37.3%

3.0%4.5%

10.4%

25.4%

N=67

経営層直属の独立組織

経営企画・リスク管理部門内

情報システム部門内

総務部門内

品質管理部門内

事業部門内

その他

95.5

89.6

53.7

11.9

25.4

71.6

22.4

0% 20% 40% 60% 80% 100%

情報システム部門

経営企画・リスク管理部門

法務部門

監査部門

人事部門

広報・渉外部門

その他

N=67

21

は 10.4%に限られる（図 3.1-14 参照）。

アンケート全体の自由記述においては、「CSIRT 組織がどの組織の配下に存在すべきか（または、

特定の組織の配下に存在すべきでないか）、円滑に CSIRT を運営するためにはどのような権限の

割当、承認経路を用意すべきかに関して検討中」、「明確な組織体制、エスカレーションの流れが

できていない」等の意見もあり、組織体制や CSIRT の権限、指示系統について模索しながら活動

している CSIRT もあると考えられる（付録 1 問 19 自由記述参照）。

図 3.1-14 インシデント対応権限

CSIRTが持つ機能

CSIRT の持つ機能とその有効性に関するアンケート結果を、インシデント対応のフェーズ毎に

以下に示す。

①インシデント発生及び被害の予防

インシデント発生及び被害の予防の機能としては、「情報セキュリティ関連情報の収集・分析」、

「脆弱性ハンドリング」、「攻撃等に関する注意喚起」、「社外組織との連携窓口」等は 9 割程度の

CSIRT において整備されており、かつ概ね有効に機能している。

一方、「セキュリティ監査・評価」、「セキュリティツールの管理・運用」「訓練・演習の実施」に

関しては機能の整備が 7 割程度となっている（図 3.1-15 参照）。

10.4%

43.3%19.4%

26.9%

N=67

インシデント対応の判断・意思決定において

全面的な権限を持つ

インシデント対応の判断・意思決定において

一部の権限を持つ

特定の条件を満たした際に、既存の判断・意

思決定者から権限が委譲される

インシデント対応の判断・意思決定を行う権

限は持たず、支援のみ行う

22

図 3.1-15 CSIRTが持つ機能及び有効性（インシデント発生及び被害の予防）

②インシデント発生時の拡大防止（局限化）

インシデント発生時の拡大防止（局限化）の機能に関しては、ほとんどの機能が8割以上のCSIRT

で整備されており、いずれにおいても概ね有効に機能している。ただし、「インシデント後の対外

公表、法的対応」に関しては、機能を整備しているのは 6 割程度にとどまっている。（図 3.1-16 参

照）なお、前述のインシデント対応時の連携先として、「広報・渉外部門」が 71.6％で挙げられて

おり、これらの専門組織と連携して対応するため、CSIRT の機能には含まれていない可能性も考

えられる（図 3.1-13 参照）。

49.3

47.8

13.4

19.4

31.3

41.8

26.9

53.7

6.0

37.3

35.8

46.3

46.3

49.3

44.8

32.8

34.3

9.0

6.0

10.4

6.0

4.5

6.0

9.0

10.4

1.5

3.0

3.0

1.5

1.5

1.5

4.5

1.5

1.5

3.0

7.5

26.9

26.9

13.4

6.0

26.9

1.5 91.0

0% 20% 40% 60% 80% 100%

情報セキュリティ関連情報の収集・分析

脆弱性情報ハンドリング

セキュリティ監査・評価

セキュリティツールの管理・運用

情報セキュリティ対策に関する教育、啓発

攻撃等に関する注意喚起

訓練・演習の実施

社外組織との連携窓口

その他

①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答

N＝67

インシデント発生及び被害の予防

23

図 3.1-16 CSIRTが持つ機能（インシデント発生時の拡大防止（局限化））

③インシデントの経験・知見に基づく改善策

インシデントの経験・知見に基づく改善策の機能としては、95.6%の CSIRT で整備されており、

86.5 %で機能の有効性が肯定的に評価されている（図 3.1-17 参照）。

図 3.1-17 CSIRTが持つ機能（インシデントの経験・知見に基づく改善策の実施）

CSIRT の機能について、「期待したレベルを満たしている」または「ある程度期待したレベルを

満たしている」と回答した企業は 76.1％であり、全体として CSIRT の機能に対する評価は高い（図

3.1-18 参照）。

一方、CSIRT 設置からの期間が 1 年以内の企業においては、CSIRT の機能が期待したレベルを

満たしていると回答した企業が 5 割程度にとどまっており、「まだ評価できない」との回答も約 3

割ある。CSIRT 設置からの期間が 1 年以上の企業においては、8~9 割の企業で CSIRT の機能を評

価しており、経験とともに、CSIRT の機能が成熟していくと考えられる（図 3.1-19 参照）。

38.8

50.7

49.3

43.3

40.3

14.9

1.5

44.8

38.8

43.3

44.8

49.3

41.8

4.5

6.0

1.5

6.0

4.5

10.4

1.5

1.5

1.5

1.5

1.5

3.0

1.5

10.4

1.5

3.0

4.5

4.5

28.4

1.5

1.5

1.5

97.0

0% 20% 40% 60% 80% 100%

インシデントの検知

社内外からのインシデント報告窓口

インシデントに対する初動対応

インシデントの調査及び分析

外部機関や関係者への連絡・調整

インシデント後の対外公表、法的対応

その他

①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答

N＝67インシデント発生時の拡大防止（局限化）

31.3

1.5

55.2

3.0

7.5 1.5

1.5

3.0 1.5

94.0

0% 20% 40% 60% 80% 100%

再発防止策の策定

その他

①非常に有効 ②ある程度有効 ③それ程有効でない ④全く有効でない ⑤機能がない 無回答

N=67

インシデントの経験・知見に基づく改善策の実施N 67

24

図 3.1-18 CSIRT機能の有効性に関する全体評価

図 3.1-19 CSIRT機能の有効性に関する全体評価（CSIRT設置期間別）

上記の CSIRT の有効性を左右する要素としては、「能力・スキルのある人員の確保」が 80.6％と

最も多く挙げられており、CSIRT における人員の確保の重要性が表れている。その他、「適切な対

応手順の整備・見直し」（38.8％）、「社内の既存部門との連携」（35.8％）等も有効性を高める要素

として重視されている（図 3.1-20 参照）。

アンケート全体の自由記述においては、「インシデントの検知レベルをあげても、検知・分析・

初動を担当する要員が足りず、追い付かない」、「インシデント対応のノウハウを展開するために

労力が必要であるが、人的資源も限られていて難しい」、「外部から採用するにせよ、社内で育成

するにせよスキルがある人材が不足している」、「CSIRT 人材育成、キャリア形成をどのようにす

るのかが課題」等の CSIRT に適した人員の確保や人材育成の難しさが指摘されており、CSIRT の

活動を推進するうえでボトルネックになっている可能性がある（付録 1 問 19 自由記述参照）。

16.4%

59.7%

11.9%

0.0%11.9%

N=67

期待したレベルを満たしている

ある程度期待したレベルを満たしている

あまり期待したレベルを満たしていない

全く期待したレベルを満たしていない

まだ評価できない

52.4

19.0

28.6

87.0

8.7

4.3

92.3

7.7

0.0

80.0

10.0

10.0

0% 20% 40% 60% 80% 100%

期待したレベルを満たしている/ある程度期待したレベルを満たしている

あまり期待したレベルを満たしていない/全く期待したレベルを満たしていない

まだ評価できない

1年以内（N=21）

1年～2年（N=23）

3年～5年（N=13）

6年以上（N=10）

N=67

25

図 3.1-20 CSIRT機能の有効性に寄与する要素

CSIRTのインシデント経験

過去 5 年間に経験した重大インシデントの件数としては、「0 件」（37.3%）または「1 件」（10.4%）

で半数近くとなっており、CSIRT 設置企業においても重大インシデントを多く経験している企業

は限られている（図 3.1-21 参照）。アンケート全体の自由記述においては、「CSIRT 発足後に重大

なインシデントが起こっていない為、起らないのが当たり前（喉元過ぎれば）となっている様に

感じる」として、インシデントの経験がないことで危機感が低下することを懸念する声もある（付

録 1 問 19 自由記述参照）。

図 3.1-21 重大インシデントの経験

80.6

22.4

38.8

22.4

9.0

22.4

35.8

20.9

25.4

20.9

0.0

0% 20% 40% 60% 80% 100%

能力・スキルのある人員の確保

十分な予算の確保

適切な対応手順の整備・見直し

機能を実現するための十分な権限の有無

十分な活動実績

社内における機能の認知

社内の既存部門との連携

外部関係機関との連携

CSIRTコミュニティにおける積極的な情報共有

事案から得られた知見に基づく改善

その他

N=67

37.3%

10.4%

32.8%

11.9%

6.0%

1.5%

N=67

0件

1件

2～5件

6～10件

11件以上

無回答

26

インシデント経験企業におけるインシデント判明経緯は、「社内の当事者・関係者から連絡があ

った」が 73.2％と最も高くなっている。一方で、組織外（顧客や取引先、セキュリティ関係機関

等）からの連絡によって判明したケースも 9.8％～34.1％の間で回答があり、外部から CSIRT へ繋

がる窓口を整備しておくことの必要性が示されている（図 3.1-22 参照）。

図 3.1-22 重大インシデントの判明経緯

73.2

41.5

17.1

34.1

19.5

9.8

26.8

4.9

0% 20% 40% 60% 80% 100%

社内の当事者・関係者から連絡があった

SOC等監視を行う部門（委託先を含む）が発見した

社内の監査や調査で発覚した

顧客や取引先から連絡があった

警察やセキュリティ関係機関から連絡があった

セキュリティベンダから連絡があった

社外の第三者から連絡があった

その他

N=41

27

3.2.日米欧の企業向けアンケート調査の概要・分析

調査の概要

文献調査結果および NCA 会員企業向けアンケート調査の結果をもとに、日米欧の企業を対象

とした調査票を作成し、アンケート調査（以下、「本アンケート調査」と呼ぶ）を実施した。

本調査では、経営層の情報セキュリティに関する認識や組織的対策の取り組み状況を把握す

ることを目的に、日本・米国・欧州の従業員数 300 人以上の企業を対象に実施した。なお、欧州

の調査対象国は英国・独国・仏国とした。調査の概要を表 3.2-1 に示す。

回答企業の属性等、アンケート調査結果の詳細に関しては付録 2 を参照のこと。

表 3.2-1 本アンケート調査の概要

調査目的 企業経営者の情報セキュリティに対する認識や姿勢、組織的な取り組み状況等

を把握し、日米欧での比較分析等を実施することにより、我が国企業の情報セ

キュリティレベルの向上に資する。

調査主体 独立行政法人情報処理推進機構（IPA） （アンケート調査は IPA の委託により株式会社三菱総合研究所が実施）

調査対象

日本・米国・欧州（英・独・仏）の従業員数 300 人以上企業の ・CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等 23 ・情報システム/セキュリティ担当部門の責任者 ・情報システム/セキュリティ担当部門の担当者

調査期間 2015 年 11 中旬から 12 月下旬

調査方法 ウェブアンケート調査（調査画面は各国の公用語で作成）

回収結果 日本 588 件、米国 598 件、欧州 540 件（英 195 件、独 205 件、仏 140 件）

調査項目

・回答企業の基本情報 ・情報セキュリティに対する経営者の認識 ・組織的対策の取り組み状況 ・CSIRT 等の取り組み状況 ・ウイルス・サイバー攻撃の被害状況 等

データ精査

回答データに関して下記の方針で精査し、該当したものは除外した。 ・総売上高の入力値が明らかな異常値を入力しているデータ ・問 1IT 投資額の入力値が明らかな異常値を入力しているデータ ・問 14(2)情報セキュリティ担当の専任者数が 100 人以上を入力しているデー

タ ・問 15 で「ウイルス対策ソフト・サービス」「ファイアーウォール」の何れも

選択していないデータ

23 本調査における CISO 等とは、組織全体の情報セキュリティ対策を統括する CISO または同等の責任者を指す

28

調査結果

セキュリティ投資

セキュリティ投資額に関して、日米欧ともに「1 千万円～5 千万円未満」の割合が一番高い。セ

キュリティ投資額の全体的な傾向として、300 人以上企業に関しては日米欧で大きな差はない（図

3.2-1 参照）。

図 3.2-1 セキュリティ投資額

セキュリティ投資評価

情報セキュリティの投資評価に関して、「評価を実施していない」企業の割合は日本が 28.1％と

日米欧の中で一番高い。また、米欧では約半数が「定性的・定量的評価ともに実施している」と

回答しているが、日本は 33.7％となっており、セキュリティ投資評価の実施状況に関しては米欧

が先行している（図 3.2-2 参照）。

図 3.2-2 セキュリティ投資評価

18.9

12.5

16.3

20.2

23.1

27.2

15.6

15.4

22.2

11.9

21.2

13.7

4.8

5.9

5.6

1.9

3.0

2.4

26.7

18.9

12.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

1千万円未満 1千万円～5 千万円未満 5千万円～1億円未満

1億円～10 億円未満 10億円～50億円未満 50億円以上

不明

20.1

14.5

13.0

18.2

19.2

29.1

33.7

50.5

48.7

28.1

15.7

9.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

定量的評価を実施している 定性的評価を実施している

定量的・定性的評価ともに実施している 評価を実施していない

29

セキュリティ投資評価の実施状況を CISO 等の設置状況別にみると、日米欧ともに、CISO 等を

設置している企業では定量的または定性的評価を実施している割合が 8 割を超えている。一方、

CISO 等を設置していない企業では「評価を実施していない」割合が高く、日本企業では 46.7％と

なっている。

特に「定量的・定性的評価ともに実施している」に関しては、日米欧ともに「経営層として CISO

等を任命している」企業のほうが「経営層よりも下の階層に、CISO 等を任命している」企業より

も実施割合が高い（図 3.2-3 参照）。

図 3.2-3 セキュリティ投資評価（CISO 等設置状況別）

経営層の関与

経営層が自社の情報セキュリティリスクや対策状況を審議する機会の有無とその会議の有効性

について、「会議等があり、情報セキュリティ関する意思決定の場として機能している」と回答し

た割合は、日本が 66.0％、米国は 62.9％、欧州は 59.1％となっている（図 3.2-4 参照）。

一方日本では、「経営層が、自社のセキュリティリスクや対策を審議する機会がない」と回答し

た割合が 13.6％となっており、日本では経営層が自社の情報セキュリティに関与していないケー

スが一定数存在する（図 3.2-4 参照）。

26.7

24.2

12.0

21.4

13.5

4.3

17.5

11.9

1.6

16.0

30.1

16.0

15.7

22.9

24.5

22.4

37.7

26.2

40.4

32.7

25.3

58.1

51.1

30.9

56.1

43.6

41.0

16.9

13.1

46.7

4.8

12.6

40.4

4.0

6.8

31.1

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

定量的評価を実施している 定性的評価を実施している 定量的・定性的評価ともに実施している 評価を実施していない

30

図 3.2-4 経営層の情報セキュリティに対する認識

経営層の関与状況について CISO 等の設置状況別にみると、CISO 等を設置している企業のほう

が「会議等があり、情報セキュリティ関する意思決定の場として機能している」と回答している

割合が高い。特に、「経営層として CISO 等を任命している」企業ではその割合が、日本は 89.3％、

米国は 77.4％、欧州は 78.0％と高い（図 3.2-5 参照）。

一方、CISO 等を任命していない企業では、「会議等があるが、情報セキュリティに関する意思

決定の場としては機能していない」・「経営層が、自社の情報セキュリティリスクや対策を審議す

る機会がない」と回答する割合が高い。つまり、CISO 等が任命されていない企業では、経営層が

自社の情報セキュリティに対しあまり関与していないと考えられる。

図 3.2-5 経営層の情報セキュリティに対する認識（CISO等設置状況別）

66.0

62.9

59.1

20.4

34.3

37.2

13.6

2.8

3.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場としては機能していない

経営層が、自社の情報セキュリティリスクや対策を審議する機会がない

89.3

68.6

37.3

77.4

58.3

39.4

78.0

49.6

36.1

7.1

27.5

33.3

21.0

40.8

54.3

20.2

49.2

49.2

3.6

3.9

29.3

1.6

0.9

6.4

1.8

1.3

14.8

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場としては機能していない

経営層が、自社の情報セキュリティリスクや対策を審議する機会がない

31

自社拠点のセキュリティ対策把握状況

自社の国内外の拠点に関して、セキュリティ対策の状況をどの程度把握できているか確認した

ところ、「十分コントロールできている」・「一部コントロールできている」を合計した割合は日米

欧ともに 8 割を超えている（図 3.2-6 参照）。一方、海外拠点に関しては「十分コントロールでき

ている」・「一部コントロールできている」を合計した割合は、日米欧とも 7 割前後に低下し、「確

認しているがコントロールできていない」の割合が高まっている。特に日本は「十分コントロー

ルできている」とする割合が低い（図 3.2-7 参照）。

これらのことから、日米欧とも、国内拠点に関してはセキュリティ対策状況を把握できている

が、海外拠点に関しては十分把握できておらず、コントロールが難しい状況があると考えられる。

図 3.2-6 国内拠点のセキュリティ対策把握状況

図 3.2-7 海外拠点（系列会社を含む）の情報セキュリティ対策の確認状況

（海外拠点なしを除く）

委託先のセキュリティ対策把握状況

業務委託先のセキュリティ対策把握状況については、「十分確認できている」・「ある程度確認で

56.0

62.0

53.9

29.1

20.6

29.4

6.8

8.7

8.9

2.2

1.7

1.3

0.3

2.5

1.3

5.6

4.5

5.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

十分コントロールできている 一部コントロールできている

確認しているがコントロールできていない 確認していない

拠点なし わからない

22.2

37.6

35.7

41.5

31.1

38.6

17.8

15.2

14.1

6.4

4.8

3.0

12.1

11.3

8.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=405)

米国(N=415)

欧州(N=440)

十分コントロールできている 一部コントロールできている確認しているがコントロールできていない 確認していないわからない

32

きている」の回答割合の合計を見ると、日米欧いずれも 7 割以上を占めている。したがって、日

米欧ともに業務委託先のセキュリティ対策状況をある程度把握できていると考えられる（図 3.2-8

参照）。

図 3.2-8 業務委託先のセキュリティ対策把握状況

次に、物品調達先のセキュリティ対策状況について、「十分確認できている」・「ある程度確認で

きている」の回答割合の合計は日米欧ともに 6 割程度にとどまり、業務委託先と比べ、十分に把

握できていないことがわかる（図 3.2-9 参照）。

図 3.2-9 物品調達先のセキュリティ対策把握状況

情報開示の実施状況

情報セキュリティポリシー等の平時の情報開示については、日本は情報セキュリティポリシー

または情報セキュリティ上のリスクを公表している割合が 75.6％と米欧に比べて高い（図 3.2-10

参照）。

28.4

42.8

37.2

49.5

31.3

38.1

7.8

11.0

12.2

4.4

3.3

3.9

3.7

4.7

2.4

6.1

6.9

6.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

十分確認できている ある程度確認できている ほとんど確認できていない

確認していない 委託・調達していない わからない

20.6

35.5

31.7

44.2

33.9

36.7

15.5

12.9

16.3

6.1

5.9

5.6

6.0

4.5

4.1

7.7

7.4

5.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

十分確認できている ある程度確認できている ほとんど確認できていない

確認していない 委託・調達していない わからない

33

米欧では、「いずれも公表していない」の割合が米国で 23.9％、欧州で 30.4％となっており、日

本に比べ平時の情報開示を実施していないことがわかる。情報開示を実施していない理由につい

ては、日米欧ともに「開示義務がない」をあげる回答が多かったが、米欧では「自社のセキュリ

ティやリスクの情報を開示したくない」との回答が多い（図 3.2-11 参照）。

図 3.2-10 平時の情報開示

図 3.2-11 情報開示を実施しない理由

平時の情報開示実施状況に関して CISO 等設置状況別にみると、CISO 等を任命している企業で

は、情報セキュリティポリシーまたは情報セキュリティ上のリスクを開示している割合が高い。

CISO 等を任命していない企業では、「いずれも公表していない」の回答が日米で 3 割以上、欧州

では 57.4％となっており、CISO 等を任命している企業ほど情報開示に取り組んでいることがわか

る（図 3.2-12 参照）。

38.4

35.6

23.5

33.3

20.2

25.6

3.9

7.5

14.1

16.3

23.9

30.4

8.0

12.7

6.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している

情報セキュリティポリシーのみ公表している

情報セキュリティ上のリスクのみ公表している

いずれも公表していない

わからない

64.6

21.9

18.8

13.5

0.0

66.4

25.9

46.2

2.8

0.0

56.7

18.3

50.0

4.3

0.0

0 % 20 % 40 % 60 % 80 %

開示義務がない

投資家等のステークホルダーからの開示要請がない

自社のセキュリティやリスクの情報を開示したくない

開示したいと考えているが、そのためのリソース（人員・

予算・時間等）が不足している

その他

日本(N=96)

米国(N=143)

欧州(N=164)

34

図 3.2-12 平時の情報開示（CISO等設置状況別）

インシデント発生時の情報開示基準の策定状況については、「インシデント発生時に対外的に情

報を開示する基準を定めている」と回答した割合は、日本が 47.1％、米国は 43.8％、欧州は 39.1％

となっている（図 3.2-13 参照）。

図 3.2-13 インシデント発生時の情報公開基準の策定

インシデント発生時の情報開示基準の策定状況について CISO 等設置状況別にみると、「経営層

として CISO 等を任命している」企業では「インシデント発生時に対外的に情報を開示する基準

を定めている」割合が、日米で 6 割以上、欧州で約 5 割と高い。また、「経営層よりも下の階層に、

CISO 等を任命している」企業では「現在検討中である」と答える割合が高く、「CISO 等を任命し

57.8

35.9

20.7

50.0

31.4

13.8

36.3

17.8

3.3

27.6

45.8

36.0

14.1

26.9

24.5

21.1

33.9

16.4

2.2

3.3

6.0

5.2

9.0

12.8

10.3

17.4

18.0

6.7

11.8

34.0

19.4

24.7

38.3

26.9

26.7

57.4

5.8

3.3

3.3

11.3

8.1

10.6

5.4

4.2

4.9

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している

(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している

(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している

(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している 情報セキュリティポリシーのみ公表している

情報セキュリティ上のリスクのみ公表している いずれも公表していない

わからない

47.1

43.8

39.1

23.6

31.8

35.9

16.3

14.0

18.1

12.9

10.4

6.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

インシデント発生時に対外的に情報を公開する基準を定めているインシデント発生時に対外的に情報を公開する基準を現在検討中であるインシデント発生時に対外的に情報を公開する基準を定めていないわからない

35

ていない」企業では「定めていない」と回答する割合が高い（図 3.2-14 参照）。

これらのことから、CISO 等が任命され、経営層として位置付けられているほど、インシデント

発生時の情報公開に関する取り組みが進んでいると考えられる。

図 3.2-14 インシデント発生時の情報公開基準の策定（CISO 等設置状況別）

リスク分析

情報セキュリティ上のリスク（情報漏えい、サイバー攻撃等）を踏まえたリスク分析の実施状

況を確認した結果、「情報セキュリティを対象に入れたリスク分析を実施している」と回答した割

合は、日米欧ともに 6 割を超えている（図 3.2-15 参照）。

図 3.2-15 リスク分析実施状況

66.2

51.6

21.3

64.9

28.3

28.7

50.2

37.3

8.2

19.6

34.0

27.3

21.0

48.9

27.7

33.2

42.4

26.2

5.8

9.8

42.7

6.9

14.8

34.0

11.7

16.5

50.8

8.4

4.6

8.7

7.3

8.1

9.6

4.9

3.8

14.8

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

インシデント発生時に対外的に情報を公開する基準を定めている インシデント発生時に対外的に情報を公開する基準を現在検討中である

インシデント発生時に対外的に情報を公開する基準を定めていない わからない

65.0

68.9

65.9

13.9

18.4

22.6

12.4

5.7

6.7

8.7

7.0

4.8

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

情報セキュリティを対象に入れたリスク分析を実施している

リスク分析を実施しているが、情報セキュリティは対象に入れていない

リスク分析は実施していない

わからない

36

リスク分析の実施状況を CISO 等設置状況別にみると、CISO 等を任命している企業ほど「情報

セキュリティを対象に入れたリスク分析を実施している」と回答する割合が高い。特に「経営層

として CISO 等を任命している」企業では、その割合が日米欧で 8 割前後と高い。

これらに比べ、CISO 等を任命していない企業では、「リスク分析を実施していない」割合が高

い。中でも日本は、30.7％で最も高い割合となっている（図 3.2-16 参照）。

図 3.2-16リスク分析実施状況（CISO 等設置状況別）

被害額推定

ウイルス感染やサイバー攻撃が発生した場合の被害額（逸失利益や対策費用等）推定の実施状

況については、被害額推定を「行っている」のは日米欧とも 5 割以上であり、中でも欧州は 66.9％

と実施割合が最も高い（図 3.2-17 参照）。

図 3.2-17 ウイルス感染・サイバー攻撃発生時の被害額推定

被害額推定の実施状況について CISO 等設置状況別にみると、CISO 等を任命している企業ほど

実施率は高い（図 3.2-18 参照）。

84.9

71.2

43.3

83.5

64.1

46.8

78.0

62.7

42.6

5.8

20.3

22.0

8.9

26.5

29.8

15.2

30.1

26.2

5.3

5.2

30.7

2.4

4.9

18.1

3.6

4.7

24.6

4.0

3.3

4.0

5.2

4.5

5.3

3.1

2.5

6.6

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している

(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している

(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している

(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

情報セキュリティを対象に入れたリスク分析を実施している リスク分析を実施しているが、情報セキュリティは対象に入れていない

リスク分析は実施していない わからない

55.3

56.2

66.9

31.0

28.3

25.7

13.8

15.6

7.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

行っている 行っていない わからない

37

図 3.2-18 ウイルス感染・サイバー攻撃発生時の被害額推定（CISO等設置状況別）

サイバー保険

サイバー保険（情報漏えい等の損害賠償や不正アクセスの原因調査費用等を補償する保険）の

加入状況を確認したところ、日本では 32.3％、米欧では 40%以上であった（図 3.2-19 参照）。

IPA の先行調査 24では、国内の加入状況は売上高 10 億円以上の大企業で 24.6％であり、本調査

結果において先行調査結果から増加している。これは、同先行調査以降に発生した日本年金機構

の個人情報流出事件やマイナンバー制度の導入により、企業の意識が高まり加入が進んだ可能性

がある。

図 3.2-19 サイバー保険加入状況

サイバー保険加入状況について CISO 等設置状況別にみると、CISO 等を任命している企業では

日米欧ともに加入割合が高い。特に米欧では、「経営層として CISO 等を任命している」企業では

24 IPA「企業におけるサイバーリスク管理の実態調査 2015」http://www.ipa.go.jp/security/fy27/reports/cyber-ins/index.html 。「サイバー攻撃に関する保険」と「情報漏えいに関する保険」における大企業の加入率の合計

は 24.6%。となっている。

71.6

67.3

34.7

69.4

58.7

27.7

81.2

66.9

27.9

20.9

27.5

54.0

19.0

26.9

60.6

14.8

24.6

70.5

7.6

5.2

11.3

11.7

14.3

11.7

4.0

8.5

1.6

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

行っている 行っていない わからない

32.3

41.0

41.7

33.2

40.6

43.7

34.5

18.4

14.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

加入している 知っているが加入していない 知らない

38

サイバー保険の加入割合は 5 割を超えている（図 3.2-20 参照）。

図 3.2-20 サイバー保険加入状況（CISO等設置状況別）

セキュリティ体制

情報セキュリティ対策の体制について、日米欧ともに「専門部署（担当者）がある」「兼務だが

担当者が任命されている」との回答は 8 割を超えている。（図 3.2-21 参照）

図 3.2-21 セキュリティ体制

セキュリティ人材の充足度

情報セキュリティ業務を担当するセキュリティ人材の量的な充足度、スキル面等の質的な充足

度については、日本は質量ともに「やや不足している」との回答が半数を超えている。

一方米欧は、質量ともに「十分である」との回答が 5 割を超えており、セキュリティ人材の充

足度を高く評価している（図 3.2-22、図 3.2-23 参照）。「十分である」とした企業の割合を日本と

43.1

42.5

16.7

55.2

38.1

16.0

53.4

40.7

11.5

29.3

39.2

44.7

30.2

49.8

54.3

34.5

47.0

63.9

27.6

18.3

38.7

14.5

12.1

29.8

12.1

12.3

24.6

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

加入している 知っているが加入していない 知らない

53.9

57.5

47.8

37.2

31.1

43.1

6.3

7.0

6.7

2.6

4.3

2.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

専門部署（担当者）がある 兼務だが担当者が任命されている

組織的には行っていない（各自の対応） わからない

39

欧米で比較すると、人材の量的充足度、スキル面等の質的充足度のどちらも、日本企業の割合は

欧米企業の割合の半分以下である。

図 3.2-22 情報セキュリティ業務担当者の量的充足度

図 3.2-23 情報セキュリティ業務担当者の質的充足度

セキュリティ人材の量的・質的充足度を回答者の役職別にみると、日米欧ともに役職レベルが

高いほど「十分である」と回答する割合が高い。これは、経営レベルに近いほど人材は質量とも

に充足していると考えているが、現場は不足していると感じており、現場とのギャップが生じて

いることが考えられる（図 3.2-24、図 3.2-25 参照）。

27.6

57.9

62.1

53.7

27.9

27.9

12.3

4.9

3.9

6.3

9.2

6.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=536)

米国(N=530)

欧州(N=491)

十分である やや不足している 大幅に不足している わからない

25.2

54.3

61.9

53.2

30.4

28.7

15.1

5.8

3.5

6.5

9.4

5.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=536)

米国(N=530)

欧州(N=491)

十分である やや不足している 大幅に不足している わからない

40

図 3.2-24 情報セキュリティ業務担当者の量的充足度（回答者役職別）

図 3.2-25 情報セキュリティ業務担当者の質的充足度（回答者役職別）

50.0

28.6

23.6

77.5

56.8

48.3

76.2

62.7

53.1

40.9

59.7

51.7

19.1

32.7

23.8

21.4

30.0

27.9

9.1

9.7

14.5

3.4

4.4

6.8

4.2

5.4

2.0

10.1

6.1

21.1

2.4

3.1

13.6

0 % 20 % 40 % 60 % 80 % 100 %

CISO/最高情報セキュリティ責任者等（N=46）

情報システム/セキュリティ担当部門の責任者（N=206）

情報システム/セキュリティ担当部門の担当者（N=336）

CISO/最高情報セキュリティ責任者等（N=90）

情報システム/セキュリティ担当部門の責任者（N=323）

情報システム/セキュリティ担当部門の担当者（N=185）

CISO/最高情報セキュリティ責任者等（N=88）

情報システム/セキュリティ担当部門の責任者（N=284）

情報システム/セキュリティ担当部門の担当者（N=168）

日本

米国

欧州

十分である やや不足している 大幅に不足している わからない

45.5

26.0

21.6

58.4

55.8

49.0

71.4

64.2

52.4

45.5

57.7

51.4

36.0

32.7

22.4

25.0

29.6

29.3

9.1

13.8

16.9

4.5

5.8

6.8

1.2

3.8

4.1

2.6

10.1

1.1

5.8

21.8

2.4

2.3

14.3

0 % 20 % 40 % 60 % 80 % 100 %

CISO/最高情報セキュリティ責任者等（N=46）

情報システム/セキュリティ担当部門の責任者（N=206）

情報システム/セキュリティ担当部門の担当者（N=336）

CISO/最高情報セキュリティ責任者等（N=90）

情報システム/セキュリティ担当部門の責任者（N=323）

情報システム/セキュリティ担当部門の担当者（N=185）

CISO/最高情報セキュリティ責任者等（N=88）

情報システム/セキュリティ担当部門の責任者（N=284）

情報システム/セキュリティ担当部門の担当者（N=168）

日本

米国

欧州

十分である やや不足している 大幅に不足している わからない

41

CSIRT設置状況

(a)日米欧の CSIRT設置状況の比較

インシデント対応担当組織の設置状況についてみると、「CSIRT を設置している」との回答割合

は 20％程度であり、日米欧で大きな差はない（図 3.2-26 参照）。

図 3.2-26 インシデント対応担当組織の設置状況

CSIRT 設置状況を CISO 等設置状況別にみると、CISO 等を任命している企業では CSIRT の設

置率が高い。特に「経営層として CISO 等を任命している」企業における CSIRT の設置率は日米

欧とも 3 割を超える。

一方、CISO 等を任命していない企業では、CSIRT の設置率は日米欧とも 1 割未満にとどまる

（図 3.2-27 参照）。

図 3.2-27 インシデント対応担当組織の設置状況（CISO等設置状況別）

20.2

25.9

23.9

48.0

43.8

48.1

31.8

30.3

28.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

CSIRTを設置している

CSIRTという名称ではないが、インシデント対応を担当する組織が決まっている

インシデント対応を担当する組織は決まっていない

33.8

20.3

6.7

39.5

21.5

7.4

39.0

16.9

3.3

50.7

60.8

38.0

41.9

52.0

27.7

43.9

58.1

29.5

15.6

19.0

55.3

18.5

26.5

64.9

17.0

25.0

67.2

0 % 20 % 40 % 60 % 80 % 100 %

経営層としてCISO等を任命している(N=225)

経営層よりも下の階層に、CISO等を任命している(N=153)

CISO等を任命していない(N=150)

経営層としてCISO等を任命している(N=248)

経営層よりも下の階層に、CISO等を任命している(N=223)

CISO等を任命していない(N=94)

経営層としてCISO等を任命している(N=223)

経営層よりも下の階層に、CISO等を任命している(N=236)

CISO等を任命していない(N=61)

日本

米国

欧州

CSIRTを設置している CSIRTという名称ではないが、インシデント対応を担当する組織が決まっている。 インシデント対応を担当する組織は決まっていない

42

CSIRT 等の有効性の全体評価に関して、日米欧ともに 8 割以上の企業で肯定的な評価がされて

いる。ただし、「期待したレベルを満たしている」と回答した企業は日本が 14.0％にとどまってい

るのに対し、米国では 45.3％、欧州では 48.8％と、大きな差が出ている（図 3.2-28 参照）。

この CSIRT 等の有効性を左右する要素として、日本では米欧に比べて「能力・スキルのある人

員の確保」の項目で 20％弱高く、「十分な予算の確保」の項目で 15％以上高く選択されている（図

3.2-29 参照）。

関連する項目のデータを見ると、前述の（11）セキュリティ人材の充足度においては日本企業

では米欧に比べ情報セキュリティ業務担当者の量的充足度及び質的充足度が低い傾向が見られる。

また、後述の（13）「情報セキュリティ対策を進める上での課題」においても、「予算が不足して

いる」を挙げる割合は米欧と比較して日本企業が高かった。こうしたリソース面の状況が日本と

米欧の評価の差に表れている可能性もある。

図 3.2-28 CSIRT等の有効性の全体評価

14.0

45.3

48.8

67.1

42.2

41.4

13.0

7.0

6.7

0.5

1.2

1.5

5.5

4.3

1.5

0% 20% 40% 60% 80% 100%

日本(N=401)

米国(N=417)

欧州(N=389)

期待したレベルを満たしている ある程度期待したレベルを満たしている

あまり期待したレベルを満たしていない 全く期待したレベルを満たしていない

まだ評価できない

43

図 3.2-29 CSIRT等の有効性を左右する要素

次に、CSIRT 等が持つ機能は、企業によってばらつきがあることが分かり、多くの CSIRT 等に

共通して実装されている機能はみられなかった（図 3.2-30）

逆に、実装されている割合が特に少ない機能に着目すると、「訓練・演習の実施」が日本で 33.4％、

米国 39.3％、欧州 34.7％、「社内外からのインシデント報告窓口」が日本で 38.2％、米国 41.7％、

欧州 35.2％、「外部機関や関係者への連絡・調整」が日本で 29.9％、米国 26.6％、欧州 23.7％、「イ

ンシデント後の対外公表、法的対応」が日本で 26.4％、米国 26.1％、欧州 22.1％、「再発防止策の

策定」が日本で 28.7％、米国 32.1％、欧州 31.4％となっている。

このうち「訓練・演習の実施」ついて関連する項目のデータを見ると、後述する（16）ウイルス感

染・サイバー攻撃・内部不正による被害発生状況においては、直近の会計年度においてサイバー

攻撃が発生していない企業の割合が日米欧ともに 50％を超えている。最近のサイバー攻撃による

インシデントの対応経験がなく、かつ、訓練・演習を行っていない、インシデント対応の実力が

未知数の CSIRT 等の存在がうかがえる。

73.3

54.4

45.6

20.0

26.7

13.5

10.0

10.2

4.7

0.0

56.8

37.6

55.2

25.2

32.6

24.2

12.2

8.4

7.9

0.2

54.2

39.8

41.9

28.0

28.0

23.7

10.5

11.1

6.9

0.5

0 % 20 % 40 % 60 % 80 %

能力・スキルのある人員の確保

十分な予算の確保

適切な対応手順の整備・見直し

十分な活動実績

社内における機能の認知

社内の既存部門との連携

外部関係機関との連携

CSIRTコミュニティにおける積極的な情報共有

事案から得られた知見に基づく改善

その他

日本(N=401)

米国(N=417)

欧州(N=389)

44

図 3.2-30 CSIRT等が持つ機能

(b)国内の CSIRT 設置企業に関する比較

調査手法が異なるため単純に比較できないが、参考として本アンケート調査の CSIRT に関する

設問について、国内企業の結果を NCA 会員企業向けアンケート調査の結果と比較する。

前述のとおり、NCA 会員企業アンケート調査の CSIRT は設置してからの期間が浅く、設置 2 年

以内の組織が 65.6％を占めている。一方、本アンケート調査の CSIRT 及びインシデント対応組織

においては、設置 3 年以上の組織が 6 割程度となっている（図 3.2-31 参照）。

72.6

50.6

66.6

55.4

55.1

42.4

33.4

31.4

44.4

38.2

41.6

40.6

29.9

26.4

28.7

4.5

55.9

51.8

63.8

51.3

49.4

39.1

39.3

33.8

49.2

41.7

46.3

48.9

26.6

26.1

32.1

6.2

53.5

49.6

60.9

49.9

44.7

44.2

34.7

27.0

50.6

35.2

42.2

45.2

23.7

22.1

31.4

3.6

0 % 20 % 40 % 60 % 80 %

情報セキュリティ関連情報の収集・分析

脆弱性情報ハンドリング

セキュリティ監査・評価

セキュリティツールの管理・運用

情報セキュリティ対策に関する教育、啓発

攻撃等に関する注意喚起

訓練・演習の実施

社外組織との連携窓口

インシデントの検知

社内外からのインシデント報告窓口

インシデントに対する初動対応

インシデントの調査及び分析

外部機関や関係者への連絡・調整

インシデント後の対外公表、法的対応

再発防止策の策定

わからない

日本(N=401)

米国(N=417)

欧州(N=389)

45

図 3.2-31 CSIRT等の設置期間

CSIRT の組織内の位置づけとしては、いずれの調査の回答企業も「情報システム部門」が最も

多いが、本アンケート調査の CSIRT 設置企業では、「経営層直属の独立組織」として CSIRT を設

置した割合は 27.7％であり、NCA 会員企業（10.4%）に比べ高い。また、本アンケート調査では

CSIRT 以外のインシデント対応組織も含め、「経営企画・リスク管理部門内」に設置される割合が

NCA 会員企業向けアンケート調査と比較して高く、より経営に近い組織にインシデント対応機能

が備わっている。また、本アンケート調査では、インシデント対応にあたってシステム停止、ネ

ットワーク遮断、調査等に関して全面的な権限を持つ組織が多くなっている（図 3.2-32、図 3.2-33

参照）。

一方、NCA 会員企業向けアンケート調査の CSIRT においては、本アンケート調査と比較して

「品質管理部門内」や「事業部門内」の割合が高いことに加え、「その他」の回答として、部門・

全社横断組織や仮想的な組織とする回答も複数あり、現場に近い形で活動する組織が多くなって

いる。また、インシデント対応における権限は、権限の範囲が一部に限定されたり、特定の条件

を満たしたときにのみ、既存の判断・意思決定者から権限が委譲される、または権限を持たず、

支援のみ行う形が多い（図 3.2-32、図 3.2-33 参照）。

図 3.2-32 CSIRT等の組織内の位置づけ

31.3

10.9

3.2

34.3

18.5

21.3

19.4

34.5

29.8

14.9

27.7

28.7

8.4

17.0

0% 20% 40% 60% 80% 100%

NCA会員企業向けアンケート（N=67）

本アンケート：CSIRTを設置している（N=119）

本アンケート：CSIRTという名称ではないが、

インシデント対応を担当する組織がある（N=282）

1年以内 1年～2年 3年～5年 6年以上 わからない

10.4

27.7

7.1

9.0

29.4

25.5

37.3

36.1

58.2

3.0

2.5

6.0

4.5

1.7

2.1

10.4

0.8

0.7

25.4

1.7

0.4

0% 20% 40% 60% 80% 100%

NCA会員企業向けアンケート（N=67）

本アンケート：CSIRTを設置している

（N=119）

本アンケート：CSIRTという名称ではないが、

インシデント対応を担当する組織がある

（N=282）

経営層直属の独立組織 経営企画・リスク管理部門内 情報システム部門内総務部門内 品質管理部門内 事業部門内その他

46

図 3.2-33 インシデント対応時に CSIRT 等が有する権限

CSIRT の有効性に関しては、いずれの調査においても全体的に肯定的な評価が 7 割を超えてい

る。特に CSIRT として設置されている組織の方が評価が高く、本アンケート調査の CSIRT 設置企

業では、29.4％が「期待したレベルを満たしている」と評価している（図 3.2-34 参照）。

CSIRT の機能の有効性に寄与する要素としては、「能力・スキルのある人員の確保」が重要な要

素としていずれの調査でも認識されている。NCA 会員企業向けアンケート調査の CSIRT におい

ては、本アンケート調査と比較して、「社内の既存部門との連携」、「外部関係機関との連携」、

「CSIRT コミュニティにおける積極的な情報共有」等、他の組織との連携がより重視されている。

NCA の CSIRT コミュニティでの活動は、CSIRT 機能の有効性向上に寄与すると認識されている

（図 3.2-35 参照）。

一方、「十分な予算の確保」を重視する組織の割合は、NCA 会員企業向けアンケート調査では

本アンケート調査と比較して、半数程度にとどまる（図 3.2-35 参照）。NCA 会員企業には設立し

て日が浅い CSIRT が多いことを考えると、活動に対する適切な予算がまだ評価できていないケー

スがあり、このような結果になった可能性がある。また、CSIRT の予算の増減に関する設問では

「明確な形で予算が確保されていない（兼任者のみのバーチャル組織の場合等）」という回答も

34.3％あり（付録 1-21 参照）、そもそも組織形態上、予算という概念が重視されていない可能性も

ある。

10.4

63.9

38.3

43.3

26.9

42.6

19.4

5.9

12.4

26.9

3.4

6.7

0% 20% 40% 60% 80% 100%

NCA会員企業向けアンケート（N=67）

本アンケート：CSIRTを設置している（N=119）

本アンケート：CSIRTという名称ではないが、

インシデント対応を担当する組織がある

（N=282）

インシデント対応の判断・意思決定において全面的な権限を持つ

インシデント対応の判断・意思決定において一部の権限を持つ

特定の条件を満たした際に、既存の判断・意思決定者から権限が委譲される

インシデント対応の判断・意思決定を行う権限は持たず、支援のみ行う

47

図 3.2-34 CSIRT等の有効性の全体評価

図 3.2-35 CSIRT機能の有効性に寄与する要素

情報セキュリティ対策を進める上での課題

情報セキュリティ対策を進める上での課題については、日米欧ともに「予算が不足している」・

「リスクの見える化が困難/不十分」・「セキュリティ対策が場当たり的になっている」を挙げる割

合が高く、日米欧共通の課題となっている（図 3.2-36 参照）。

また、日本は米欧に比べ「経営層のリスク感度が低い」・「経営層に IT やセキュリティの重要性

16.4

29.4

7.4

59.7

59.7

70.2

11.9

7.6

15.2

0.8

0.4

11.9

2.5

6.7

0% 20% 40% 60% 80% 100%

NCA会員企業向けアンケート（N=67）

本アンケート：CSIRTを設置している（N=119）

本アンケート：CSIRTという名称ではないが、

インシデント対応を担当する組織がある

（N=282）

期待したレベルを満たしている ある程度期待したレベルを満たしているあまり期待したレベルを満たしていない 全く期待したレベルを満たしていないまだ評価できない

80.6

22.4

38.8

9.0

22.4

35.8

20.9

25.4

20.9

76.5

57.1

47.1

21.8

27.7

9.2

5.9

12.6

2.5

72.0

53.2

45.0

19.1

26.2

15.2

11.7

9.2

5.7

0% 20% 40% 60% 80% 100%

能力・スキルのある人員の確保

十分な予算の確保

適切な対応手順の整備・見直し

十分な活動実績

社内における機能の認知

社内の既存部門との連携

外部関係機関との連携

CSIRTコミュニティにおける積極的な情報共有

事案から得られた知見に基づく改善

NCA会員企業向けアンケート（N=67）本アンケート：CSIRTを設置している（N=119）本アンケート：CSIRTという名称ではないが、インシデント対応を担当する組織がある（N=282）

48

を理解してもらえない」を課題としてあげている割合が高く、セキュリティ対策を進める上で経

営層の認識が課題になっていると考えられる（図 3.2-36 参照）。

図 3.2-36情報セキュリティ対策を進めるうえでの課題点

セキュリティ関連製品・ソリューション導入状況

セキュリティ関連製品・ソリューションの導入状況は、日米欧ともに「ウイルス対策ソフト・

サービス」・「ファイアウォール」の導入が 8 割を超えている（図 3.2-37 参照）。

28.9

26.2

39.6

47.8

21.3

24.5

22.1

21.3

17.7

2.6

16.4

17.7

33.4

31.4

19.7

26.9

21.4

13.7

11.9

6.9

20.6

18.0

28.9

27.6

19.4

23.7

16.1

9.4

8.5

5.9

0 % 20 % 40 % 60 %

経営層のリスク感度が低い

経営層にITやセキュリティの重要性を理解してもらえない

予算が不足している

リスクの見える化が困難/不十分

情報セキュリティの取組が企業価値の向上につながると

認識されていない

セキュリティ対策が場当たり的になっている

インシデント発生に備えた準備が不十分

経営とセキュリティの両方を理解している人材がいない

担当者の専門知識が不足している

その他

日本(N=588)

米国(N=598)

欧州(N=540)

49

図 3.2-37 セキュリティ関連製品・ソリューション導入状況

94.9

48.3

64.6

63.4

32.7

80.3

56.8

23.0

31.0

29.4

28.4

16.8

16.3

29.9

8.7

31.8

27.9

23.8

20.9

43.5

37.8

1.0

88.8

41.3

68.1

70.7

45.7

89.1

65.7

22.9

37.6

46.3

35.6

13.9

19.6

21.6

17.2

31.4

32.9

21.4

15.7

49.2

40.8

1.3

86.1

48.0

53.5

60.2

36.9

83.1

53.7

18.5

37.0

40.9

36.5

10.9

16.5

23.9

13.3

30.7

31.1

25.7

16.9

39.4

32.6

0.9

0 % 20 % 40 % 60 % 80 % 100 %

ウイルス対策ソフト・サービス

標的型攻撃対策ツール（サンドボックス）

ウェブ閲覧のフィルタリングソフトウエア

メールフィルタリングソフトウェア（誤送信防止対策品、

スパムメール対策製品を含む）

情報漏えい対策（DLP）製品

ファイアウォール

VPN

IDS/IPS

アプリケーションファイアウォール（WAFを含む）

アイデンティティ管理／ログオン管理／アクセス許可製品

ワンタイムパスワード、ICカード、USBキーによる個人認証

生体認証（バイオメトリクス）

PKIシステムおよびそのコンポーネント（電子証明書の発行、

管理、証明サービスを提供するシステム）

ログ情報の統合・分析、システムのセキュリティ状態の

総合的な管理機能（SIEM）

SOC（Security Operation Center）サービス

クライアントPCの設定・状態・動作・ネットワーク接続等を

管理する製品（検疫ネットワークを含む）

モバイルセキュリティ管理（MDM）

デバイス制御製品（USB、スマートフォン等各種デバイスの

利用管理、書き込み制御機能）

シンクライアント

暗号化製品（ディスク、ファイル、メール等）

ソフトウエアライセンス管理／IT資産管理製品

その他

日本(N=588)

米国(N=598)

欧州(N=540)

50

組織面・運用面の対策

組織面・運用面の対策について、日本は米欧に比べ「フロアや施設への入退出管理」・「機器や

記録媒体の持込み・持出の制限」・「一般ユーザアカウントの管理ルールの策定（パスワードの設

定ルール、退職者管理等）」の実施率が高い（図 3.2-38 参照）。

図 3.2-38 組織面・運用面の対策

ウイルス感染・サイバー攻撃・内部不正による被害発生状況

日米欧ともに、ウイルス感染による被害の発生は 2 割程度、サイバー攻撃による被害の発生は

71.9

71.1

73.3

53.7

41.5

50.7

64.1

58.5

24.3

32.0

31.3

34.9

54.4

38.6

52.6

36.4

29.4

29.3

38.4

2.0

53.2

40.1

57.5

56.4

50.0

47.7

65.7

42.0

34.6

28.1

37.5

49.3

50.7

34.9

47.5

36.0

21.4

30.3

29.3

1.3

50.4

41.9

52.0

52.6

47.2

45.6

56.1

36.5

27.6

27.2

31.1

30.0

42.6

26.3

37.4

27.0

18.5

23.3

24.4

1.7

0 % 20 % 40 % 60 % 80 %

フロアや施設への入退出管理

機器や記録媒体の持込み・持出しの制限

一般ユーザアカウントの管理ルールの策定（パスワード

の設定ルール、退職者管理等）

Webサイト管理者権限アカウントの管理ルールの策定

その他の管理者権限アカウントの管理ルールの策定

一般ユーザのプログラムインストールの制限（exeファイル

の実行禁止等）

重要なシステム・データのバックアップ

ハードディスク等の廃棄時の破砕／溶融

外部専門家によるセキュリティ監視サービスの活用

ログやファイル情報に基づくWebコンテンツの改ざん検知

定期的なWebコンテンツのセキュリティ診断サービス（脆

弱性調査）の活用

IT資産構成や設定の文書化

セキュリティポリシーの策定

事業継続計画（BCP）の策定

情報セキュリティ監査（内部監査）

情報セキュリティ監査（外部監査）

情報セキュリティマネジメントシステム（ISMS）の認証取

得

セキュリティ人材の育成・採用

役員・従業員等に対するセキュリティ教育の実施

その他

日本(N=588)

米国(N=598)

欧州(N=540)

51

1 割程度となっている。内部不正の発生状況に関しては、日本は 1 割未満で、米欧は 1 割を超え

ている（図 3.2-39、図 3.2-40、図 3.2-41）。

図 3.2-39 ウイルス感染による被害発生状況

図 3.2-40 サイバー攻撃による被害発生状況

図 3.2-41 内部不正による被害発生状況

27.9

23.9

24.8

28.7

22.1

26.7

35.7

42.3

38.5

7.7

11.7

10.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

発生した 攻撃はあったが被害には至らなかった 発生していない わからない

9.2

11.2

10.4

27.9

20.9

26.3

52.2

54.2

51.3

10.7

13.7

12.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

発生した 攻撃はあったが被害には至らなかった 発生していない わからない

7.3

14.5

14.6

10.0

15.1

15.6

68.9

50.8

55.2

13.8

19.6

14.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

発生した 攻撃はあったが被害には至らなかった 発生していない わからない

52

ウイルス感染経路

ウイルス感染が「発生した」または「攻撃はあったが被害には至らなかった」と回答した企業

の感染経路としては、日米欧ともに「電子メール」が高い割合となっている（図 3.2-42 参照）。

図 3.2-42 ウイルス感染経路

攻撃手法

攻撃手法としては「脆弱性（セキュリティパッチの未適用）を突かれたことによる不正アクセ

スが、日米欧ともに最も割合が高い（図 3.2-43 参照）。

図 3.2-43 攻撃手法

81.4

60.1

28.5

8.4

25.5

8.7

0.0

1.5

62.5

42.5

53.8

25.8

18.5

9.8

0.0

2.9

62.2

47.1

40.6

19.8

29.1

10.8

0.0

3.6

0 % 20 % 40 % 60 % 80 % 100 %

電子メール

インターネット接続（ホームページ閲覧など）

自らダウンロードしたファイル

P2P(Peer to Peer）などのファイル共有ソフト

USBメモリ等の外部記録媒体

持ち込みクライアント（パソコン）

その他

わからない

日本(N=333)

米国(N=275)

欧州(N=278)

23.9

47.3

17.9

23.9

25.0

1.1

21.2

30.7

42.3

28.2

28.8

14.7

4.9

12.9

24.4

52.4

22.6

20.1

14.6

1.2

11.0

0 % 20 % 40 % 60 %

ID・パスワードをだまし取られてユーザになりすまされ

たことによる不正アクセス

脆弱性（セキュリティパッチの未適用）を突かれたことに

よる不正アクセス

SQLインジェクション

DoS（DDoS）攻撃

標的型攻撃

その他

手口はわからない

日本(N=184)

米国(N=163)

欧州(N=164)

53

3.3.アンケート結果に対する考察

日米欧のセキュリティ対策の取り組み状況について

本アンケート調査結果を日米欧で比較した結果、セキュリティ対策の取り組み状況で以下の特

徴がみられた。

(a)経営層の情報セキュリティに対する関与

経営層の情報セキュリティに対する関与については、日本は「会議等があり、情報セキュリテ

ィに関する意思決定の場として機能している」と回答する割合が米欧と同等以上に高い。一方、

「経営層が、自社の情報セキュリティリスクや対策を審議する機会がない」と回答する割合は米

欧より高い。つまり、日本では、経営層が情報セキュリティに関して議論する場が整備されつつ

あるが、依然として経営層が自社のセキュリティ対策に関与していない割合が米欧に比べて高い

と考えられる。

(b)自社拠点・委託先のセキュリティ把握状況

自社拠点のセキュリティ対策の把握状況に関しては、日米欧共通して国内拠点は把握できてい

るが、海外拠点は国内拠点に比べ十分把握できていない。これは、海外拠点では文化や言語、法

制度等が異なるためコントロールが難しいことが背景にあると考えられる。また、委託先のセキ

ュリティ対策の把握状況に関しては、日米欧ともに確認は実施しているが、自社拠点に比べると

十分に確認はできていない。今回のアンケート調査では、二次三次の委託先の把握までは確認で

きていないが、今後は自社の海外拠点・委託先のセキュリティ対策状況の把握を進めることが課

題になると考えられる。

(c)情報開示の実施状況

平時の情報開示（情報セキュリティポリシー、情報セキュリティ上のリスク）への取り組みは、

日本企業が積極的に進めており、ステークホルダーへの情報発信は広がっていると考えられる。

ただし、米欧では情報開示を実施しない理由として、「自社のセキュリティやリスクの情報を開示

したくない」をあげており、自社のセキュリティ情報等を開示することによるデメリットを考慮

し開示していないと考えられる。情報開示に関しては、開示によるメリット・デメリットを考慮

したうえで判断する必要があると考えられる。

(d)セキュリティ人材の充足度

情報セキュリティ業務を担当する人材の充足度は、日本は質量ともに「やや不足している」と

回答する割合が高く、米欧に比べセキュリティ人材が不足傾向にあると考えられる。人材の充足

度を回答者の属性別にみると、CISO 等は日米欧ともに人材は充足していると認識している。一方、

現場の責任者/担当者は不足していると考えており、CISO 等と現場レベルでの認識に差があるこ

とがわかる。現場との認識の差を埋めつつ、セキュリティ人材を確保・育成していくことが今後

の課題になると考えられる。

54

CISO等の重要性について

CISO 等の設置状況で各種設問項目のクロス集計を実施した結果、CISO 等を任命している企業

では各種対策の実施状況が高く、CISO 等を任命していない企業では各種対策の実施状況が低いこ

とがわかった。さらに、CISO 等を任命している企業の中でも役員として CISO 等を任命している

企業では、経営層の情報セキュリティへの関与度合いや情報開示、リスク分析の実施状況が高い

ことがわかった。つまり、情報セキュリティ対策に責任を担う CISO 等の存在が、組織の対策推進

に影響力を有すると考えられる。

一方、経営層として CISO が任命されていながら、「経営層が参加する情報セキュリティに関す

る意思決定の場がない」「リスク分析が実施されていない」あるいは「サイバー攻撃が発生した場

合の被害額推定」が行われていない企業が、それぞれ 10％～30％程度あることは、注目すべきと

思われる。

CSIRTについて

(a)NCA 会員企業向けアンケート調査

NCA 会員企業向けアンケート調査結果から見える NCA 会員企業の CSIRT の特徴の 1 つに、経

営層が CSIRT に対して積極的に関与している点が挙げられる。調査結果では、85.0％の回答企業

において、経営層・CISO 等が直接または間接的に CSIRT の指揮・監督を行う関係が構築されて

いるほか、64.2％の回答企業において、経営層が何らかの形で CSIRT の活動の評価を行っており、

評価結果は実際に CSIRT の活動の改善に活かされている。CSIRT に求められる役割は企業の業務

内容や抱えるリスクによって異なるものであり、企業の経営環境の変化にも迅速かつ柔軟に対応

していく必要がある。CSIRT の活動を企業の経営方針に沿った形で有効に機能させていくために

も、経営層が積極的に関与し、CSIRT 活動のコントロールを行うことが重要と言える。

社内外の組織との連携を重視している点も NCA 会員企業の CSIRT の特徴と言える。インシデ

ント対応時には、情報システム部門、経営企画・リスク管理部門をはじめ、法務部門や広報・渉

外部門とも連携関係が構築されており、CSIRT を中心として、社内外の対応をカバーする全社的

な体制が構築されている。

また、今回の調査の回答企業は設置期間が短い組織が多かったにもかかわらず、活動する組織

の多くが①インシデント発生及び被害の予防、②インシデント発生時の拡大防止（局限化）、③イ

ンシデントの経験・知見に基づく改善策のインシデント対応の事前・事中・事後の各フェーズに

おける機能を備えている点も注目される。NCA では、活動の一環として新規に CSIRT を構築する

組織の支援も行っていることから、こうしたサポートも NCA 会員企業の CSIRT 機能の充実に寄

与していると考えられる。

CSIRT 機能の有効性に関しては、概ね高い評価となっているが、設置期間が短い組織が多く含

まれていることもあり、今後活動が本格化した段階での評価も注目される。

55

(b)本アンケート調査

本アンケート調査における CSIRT の設置割合は日米欧ともに 20％程度であるが、CSIRT 以外の

インシデント対応組織も含めると 7 割前後設置されており、企業においてインシデント対応機能

が普及しつつあると考えられる。一方で、インシデント対応の機能に関する有効性の評価は、

CSIRT 以外のインシデント対応組織よりも CSIRT として設置されている企業の方が高く、インシ

デント対応に特化した組織として CSIRT を設置することに一定の効果があると考えられる。

また有効性に関しては、日本では米欧と比較すると評価が低い傾向がある。NCA 会員企業向け

アンケート調査及び本アンケート調査のいずれにおいても、CSIRT の機能の有効性に寄与する要

素として「能力・スキルのある人員の確保」が最も挙げられている。情報セキュリティ人材に求

められている能力・スキルと、現状の能力・スキルとの間にギャップがあり、そのことが日本で

の CSIRT に対する有効性の認識に影響している。今後 CSIRT における人員の確保が重要な課題に

なると考えられる。

本アンケートの回答企業は、その 50%超が、直近の会計年度でのサイバー攻撃の発生経験がな

く、また設置されているインシデント対応組織の 60％超には、訓練・演習の実施機能がない。近

年のサイバー攻撃に対処した実践経験もインシデント対応の訓練・演習も行っていないインシデ

ント対応組織は、その実力は未知数であると推定される。サイバー攻撃に直面することに備えイ

ンシデント対応訓練を行って、組織として上手く機能するかどうか、所期の役割を果たせるかど

うか確認し、課題を把握し改善を図ることが望まれる。

56

4.ヒアリング調査

4.1.国内企業へのヒアリング調査

調査の概要

本調査の一環として、情報セキュリティに対する取り組みの実態を把握し、他の企業でも参考

にできるベストプラクティスといえる要素を抽出することを目的とし、国内企業に対してヒアリ

ングを実施した。本目的達成のため、下記の基準を設定し、ヒアリング対象企業を選定した。

CISO、もしくはそれに相当する役職を設置していること

CSIRT を設置し、運用していること

情報セキュリティに関する、他企業にも応用可能なベストプラクティスを有していると想

定されること

上記の基準に加え、業種・業界や企業規模が極力偏らないように、ヒアリング対象の企業を選

定した。その結果、下記の 4 社に対してヒアリングを実施した。 業種 会社規模（単体社員数） A 社 情報通信業 小規模（～500 名） B 社 情報通信業 小規模（～500 名） C 社 建設業 大規模（5,000 名～） D 社 製造業 大規模（5,000 名～）

表 4.1-1 ヒアリング対象企業の属性

ヒアリング結果

A社(国内、情報通信)

A 社は地方に拠点を構え、EC ソリューションを提供する ICT 系企業である。創業から 10 年未

満のいわゆるベンチャー企業だが、現在では 100 名超の社員数を抱え、800 以上のネットショッ

プを運営するなど、急成長を続けている。

a）小規模組織における情報セキュリティ管理組織の立ち上げ

A 社は、自社が運用するネットショップで発生する情報セキュリティインシデントに対応して

いる。大企業に比べ実績や信用の乏しいベンチャー企業は、一つの情報セキュリティインシデン

トが経営を左右しかねない。そこで当時の取締役が、情報セキュリティは会社存続上の重要な要

素であると判断し、情報セキュリティ管理組織の立ち上げを推進した。つまり、いくつかの情報

セキュリティインシデントを経験する中で、それを経営課題として捉えることの必要性を、企業

の成長の過程で経営者が認識したといえる。

A 社経営層は、外部から豊富な知識と経験を持っている人材をヘッドハントし、CISO として迎

え入れた。CISO の就任当時は情報セキュリティを管理する体制が存在しなかったため、情報セキ

ュリティ委員会や CSIRT の設置、P マークの取得など、あるべき姿に向けての体制構築から着手

57

した。

現在はこの CISO を中心に、情報セキュリティの管理組織が構築されている。CISO の就任から

3 年が経過し、ようやく運用が安定しつつある。最初の 1 年で脆弱性やインシデントのハンドリ

ング、レスポンスなどの基礎的な部分の構築を行い、その運用を継続することによってメンバに

ノウハウが蓄積されてきた。現在では CISO は徐々に現場から離れ、監督の立場に比重を置くこ

とができるようになっている。CISO としては、まず 100 人程度の小規模な組織でしっかりとした

基盤を構築することができたのは有益であったと見ている。

この方針は ICT 系企業ではない一般の企業でも通用する考え方である。スタートアップベンチ

ャーの場合、本業のビジネスだけで手いっぱいの場合が多いが、大きく成長する前の小規模な段

階から、外部ベンダーの力も借りつつ、スモールスタートでセキュリティ対策を始めるのが良い。

対象とする組織が小規模であれば、かかる費用も少なく抑えることができる。外部リソースの支

援を得つつ、体制を構築して人材を育成していくことが、有効な方法の一つと考えられる。

また、スタートアップベンチャーの特徴として、全社員一人一人が会社のビジョンや方針、施

策を十分に理解することが重要である。小規模な組織においてこの部分がおろそかになってしま

うと、人的リソースが限られているがゆえに望ましいパフォーマンスは得られなくなってしまう。

これは情報セキュリティについても同様で、会社が情報セキュリティを経営課題として掲げ、具

体的な施策を打ち出した場合、それをすべての社員にしっかりと理解させることが重要である。

b）経営層におけるコミュニケーション

A 社の CISO は取締役であることから、経営層の一員として経営に関与する立場をとっている。

外部より招聘された CISO は情報セキュリティの技術にも豊富な知識を持っているということも

あり、CISO 以外の経営陣と、情報セキュリティを担当する現場との橋渡しの役割を担っている。

情報セキュリティ対策を強固に適用することで情報を守ることはできるかもしれないが、それ

らの対策により情報の利活用が阻害されるとしたら本末転倒である。A 社の CISO は、情報の利

用の価値を見出しつつ守るべきところは守るというバランスを見定める必要があり、それは現場

だけでは不可能で、経営サイドからの理解があってはじめてバランスが取れるようになると見て

いる。これは、経営層でも現場でも誤解を生じやすい部分であり、CISO の立場だからこそ見えて

きたと考えている。

つまり、経営と現場の両方を熟知している CISO が取締役であることにより、情報セキュリテ

ィに関するアクセルとブレーキの両方の役割を持ち、会社全体としてバランスをとることが可能

になる。A 社ではこの権限を CISO に一任しており、限られた人的リソースの中で、バランスを保

ちつつ情報セキュリティのかじ取りを行っている。

また、権限が一任されているといっても、情報セキュリティに関する施策の必要性や会社にと

っての意義を正しく説明しなければ、取締役会で意思決定されることはない。CSIRT の設立につ

いても、現在でこそ社会的な認知度は向上しているが、3 年前はそのような状況ではなく、その必

要性や意義を CISO の立場から取締役会の中で説明し、理解してもらった。

ただし、セキュリティに対する投資対効果という議論にはならない。EC 事業を展開する A 社

58

において、情報セキュリティを適切に管理することは一つのバリューであり、コストではなく、

成長のための投資という認識がなされているためである。顧客やネットショップオーナーに対し

て情報セキュリティの安全性をアピールすることにより、新たなビジネスへと結びつけることが

可能となる。A 社ではネットショップで検出された脆弱性も積極的に開示している。

c）セキュリティ人材の育成と社会貢献

A 社では、ネットショップというインターネット技術を基盤とした事業を行っていることもあ

り、情報セキュリティ人材が日本全体として枯渇していることに対して問題意識を持っている。

そこで、A 社の子会社でセキュリティ・キャンプ 25の卒業生を採用して、情報セキュリティ人材

として育成し、活躍してもらうことに取り組んでいる。

また将来的には、A 社 CISO のような、情報セキュリティの技術面と企業経営との両方を理解

できる人材の育成も検討しているが、これは情報セキュリティ技術者の育成以上に困難な課題で

ある。

なお、A 社 CSIRT は、日本シーサート協議会の地区リーダーを担当し、地域の CSIRT の普及・

啓発を推進するというミッションを担っている。

d）A社ヒアリングから得られた知見

ベンチャー企業の創業期は、本業ビジネスを軌道に乗せることに主眼が置かれ、その他のこと

は後回しにされる傾向があるが、組織が小さいうちからスモールスタートでセキュリティ対策を

始めた方が、かかるコストも時間も少なくて済むという指摘は示唆に富んでいる。一方で、外部

からプロフェッショナルを招聘し、ゼロから立ち上げて運用が安定稼働するまで 3 年の年月がか

かったという事実も、念頭に置くべきである。大企業に比べ、ベンチャー企業は人材リソースが

限られていることから、外部リソースをうまく活用しつつ、将来的にはある程度自走できるよう

に人材を育成していく、という考え方は参考になる。

セキュリティ人材の育成については、A 社に限った話ではなく、2020 年東京オリンピック・パ

ラリンピック競技大会を迎える日本全体が直面する課題である。情報セキュリティの技術に精通

した人材、さらには企業経営まで理解している人材となると著しい枯渇状態にあると考えられる。

A 社ではこの現状に強い危機感を持ち、子会社によるセキュリティ人材の積極的な採用と育成を

行っている。

また、A 社の場合、地方に拠点を構えていることから、情報セキュリティを通じて地域貢献を

行うという姿勢が特徴的である。

B社（国内、情報通信）

B 社は、エンタープライズ向けソフトウェアの開発・提供を行っている情報通信業の事業者で

25 情報セキュリティの脅威に適切に対処できる人材の発掘・育成を目的として、主に夏休み期間中に実施される

合宿形式の勉強会。2004 年から毎年開催され、数多くの有望なセキュリティ人材を輩出している。 https://www.ipa.go.jp/jinzai/camp/index.html

59

ある。グローバル企業から小規模組織まで幅広い顧客に対してソフトウェア及びクラウドサービ

スを提供している。

a）情報セキュリティに関する取り組みの経緯

B 社では、創業当初から情報セキュリティに積極的だったわけではないが、いくつかの経緯を

経て、現在は情報セキュリティに関する様々な取り組みを実施している。情報セキュリティに対

する B 社の意識を大きく変えたきっかけとして、二つの要因がある。

一つは、脆弱性情報の公開を巡るトラブルである。B 社では、自社で提供しているソフトウェ

アの脆弱性に関する情報を以前より顧客向けに公開していたが、あるとき検出した 3 件の脆弱性

のうち、2 件を公開し、1 件を公開しないという対応を選んだところ、この対応が後になって発覚

し、ある有識者からクレームを受けてしまった。それ以降、B 社では顧客に影響を及ぼす可能性

のある脆弱性については、必ず報告するという方針を貫いている。

もう一つは、ビジネスモデルの転換である。B 社では設置型（オンプレミス型）のソフトウェ

アを中心に提供していたが、近年、クラウドサービスにシフトしており、B 社の業務におけるア

プリケーションの開発と運用の比重が変化している。設置型のソフトウェアが中心だった頃には、

情報セキュリティの対象は自社の製品と自社ネットワークのみであったが、現在ではそれに加え

てクラウドサービスの運用事業者としての責務も含まれるようになっており、かつその重要性は

増している。

B 社の経営層は従前よりセキュリティに関する意識は持っていたが、上記のような経緯に加え、

軽微なセキュリティインシデントを目の当たりにする中で、徐々に情報セキュリティに対する意

識を向上させてきた。

b）情報セキュリティの管理体制と情報公開の方針

B 社では、2014 年に発足した「セキュリティミーティング」という会議体において、情報セキ

ュリティに関する企画や問題・課題の解決策について検討している。この会議体自体は意思決定

権限を持っていないが、B 社の主要な本部の責任者、海外拠点の責任者が、週 1 回（検討材料が

多い場合には週 2 回）集まって議論する場となっている。この会議体の事務局を B 社の CSIRT が

担当している。

セキュリティミーティングには、単独の CISO を置く代わりに、クラウドサービスの事業を推

進する立場の本部長と、その運用に責任を持つ立場の本部長の 2 名が参加している。B 社が提供

する製品もしくはサービスに情報セキュリティインシデントが発生した場合、この 2 名の本部長

はそれぞれ相反する立場になりうる。すなわち、顧客向けの製品・サービスを推し進める側の立

場と、セキュリティ管理も含めたサービスの運用に責任を持つ立場の両方が、一つの会議体に存

在している。

セキュリティミーティングで結論を出す場合、この 2 名を含む参加者全員の了承を得ることが

必要である。CISO のように情報セキュリティに関する権限を 1 名の人間に集中させるのではな

く、敢えて分散させることにより、議論を誘発させ、より良い結論を導き出すのが狙いである。

セキュリティミーティングには各本部の責任者が参加しており、その 2 名が意思決定をする上で

60

必要な情報を出せる体制が整っている。この方法がすべての企業に適用できるとは限らないが、

議論を大事にする B 社の社風・文化には適した方式といえる。

情報セキュリティ施策はセキュリティミーティングで検討・議論され、その結論は意思決定機

関である上位組織へとエスカレーションされる。上位組織ではその内容が審議され、場合によっ

ては差し戻されるが、セキュリティミーティングで再度議論が繰り返され、ブラッシュアップさ

れる。

セキュリティ投資に関しては、金額も判断材料のひとつになるがそれだけではなく、どのよう

なリスクに対する対策なのかが明確であり、かつそれが必要と判断されれば決済が通る。

セキュリティミーティング等の会議体でのディスカッションが中心ではあるが、その一方で、

有事の際における情報開示の基準は明確に決められている。どのクラウドサービスを、どの時間

帯に、どのくらい停止した場合は、どこに対して情報を公開するか、という細かな基準が設定さ

れている。また、情報資産の重要性についても 3 つのレベルが設定されており、それに基づいた

判断がなされる。有事の際には、セキュリティミーティングでは議論を行うのではなく、あらか

じめ定義されたプロセスに基づいて、責任者を含めて状況を確認し、情報公開の手続きを進める

ことにより、初動のスピード感を損なわないようにしている。なお、情報公開を行う場合は、知

財、法務、広報などのメンバも含めて連携し、リスク管理を十分に行っている。

自社製品・サービスに関するセキュリティ情報はネガティブなものであることも多く、企業に

よっては公開に消極的な場合もある。しかし B 社では、「隠そうとしてもいずれ必ずばれるうえ、

公開していない状態でばれてしまった場合の事業へのインパクトは非常に大きい」と経営層が考

えており、公明正大に、良い情報も悪い情報も公開するという方針に則っている。

B 社の中にも、立場によっては積極的な情報公開にあまり賛成でないスタッフもいる。そのよ

うな状況にあっても、トップの明確な意思が示されていることにより、情報セキュリティを担当

する現場の社員は迅速に行動することが可能となる。

c）CSIRTの果たす役割

B 社はソフトウェアやクラウドサービスの開発・提供を行っており、自社の IT 環境と顧客向け

のサービスの両方を対象とする必要がある。B 社の CSIRT にもリソースの制約があるため、自ら

が前線に立ってインシデント対応をするのではなく、開発本部や運用本部、情報システム部を後

方から支援する形式をとっている。

CSIRT が対象とするインシデントは、情報資産の紛失・毀損や情報漏えい、著作権侵害、脆弱

性など、8 つのカテゴリに分けて定義されている。これらのインシデントについて現場より CSIRT

に連絡が入り、セキュリティミーティングへとエスカレーションされるが、緊急度が高い場合は、

上位の組織体に直接エスカレーションされる。

また、CSIRT は教育的役割も担っている。B 社は ICT 関連企業であり、その他の業種の企業と

比べれば情報セキュリティに関する意識は高いと思われるが、それでも会社の規模が大きくなる

につれて、「全員が社内のセキュリティルールを守ってくれる」という前提が通用しなくなってき

ている。情報セキュリティは対策が最も弱いところが狙われるという考えに基づき、情報セキュ

61

リティに関する社員の意識や知識の底上げを図っている。

先述の通り、B 社の CSIRT は自社製品・サービスの問題に対応する PSIRT としての側面も持っ

ている。自社製品で使用しているコンポーネント等の脆弱性についても評価を行い、社内のポー

タルにて情報発信を継続することによって、社内に対する啓発も行っている。また、開発側でオ

ープンソースを使用する際にも、そのコンポーネントのセキュリティレベルや新たな脆弱性が検

出された場合の対応状況などを評価し、条件が満たされないと採用を許可しないというように、

開発側に対する統制機能も有している。

さらに、B 社の CSIRT は、B 社製品・サービスを利用している顧客から寄せられる情報セキュ

リティに関する問い合わせについても対応している。問い合わせ窓口では事業支援本部の中にセ

キュリティ専門の対応チームを構成しており、CSIRT がその回答を後方から支援している。年間

100社以上の顧客からそれぞれ十数項目の問い合わせを受けており、項目としては数千件に上る。

現状では、CSIRT に業務が集中し過ぎていることが課題である。負荷を分散させる体制を整え、

CSIRT に必要なスキルマップを整備し、組織として無理なく運用できる仕組み作りが必要とされ

る。

d）B社ヒアリングから得られた知見

情報セキュリティに関する責任者を 1 名設置し、すべての権限を集中させるのではなく、事業

を推進する立場の本部長と、運用に責任を持つ本部長という、相反する役割を持った人間が合意

し、意思決定をするという仕組みはユニークと言える。そしてその二人が意思決定するために必

要な情報を持った人間を集めた会議体を定期的に開催し、情報セキュリティに関するディスカッ

ションを行うという方式は参考になる。

権限が分散していることにより懸念される意思決定スピードの低下については、プロセスの標

準化により回避している。対象とするインシデント、エスカレーションのルール、情報公開の基

準とプロセスを明確に定義し、会社全体として共有しているため、有事の際であっても、その意

思決定スピードを鈍らせることなく、迅速な初動対応が可能である。

外部への情報公開について、B 社は自社の製品やサービスに関する情報を積極的に開示し、外

部とコミュニケーションを行うという姿勢を打ち出している。

また、B 社ではトップの掲げる方針を示すことで、社内の統制を図っている。CSIRT のように

全社的な立場で活動することが求められる組織の場合、後ろ盾があるのとないのとでは、その効

果に大きな違いが出る。情報セキュリティに関するトップの意思や方針が明確に、ぶれることな

く継続的に発信されている組織では、情報セキュリティガバナンスを確立しやすいと考えられる。

B 社では、脆弱性情報の開示に関する外部からのクレームや市場の変化など、様々な事象を経

て、現在の姿に至った。外部環境に敏感に反応し、本業のビジネスだけでなく、情報セキュリテ

ィの組織や役割も併せて進化させているという点も、B 社の特徴の一つである。

C社（国内、建設）

C 社は、大型ビルや都市インフラに関する企画や設計、エンジニアリングやマネジメント、コ

62

ンサルティングから施工に至るまで、多岐にわたる事業を展開する大手総合建設業者である。

a）情報セキュリティに対するこれまでの取り組み

C 社は早い時期から情報セキュリティに対する取り組みに着手している。2000 年代前半に

ISO27001/ISMS（当時は BS7799）の認証取得を目的として情報セキュリティポリシーを施行し、

設計部門において認証を取得した。これは、日本国内でもかなり早い段階での取得であり、特に

C 社の業種を考慮すると異例ともいえる早さである。また、情報セキュリティポリシーの施行と

ほぼ同時期に、ワンタイムパスワードによる二要素認証とシングルサインオンを導入し、一元化

された ID 管理による認証と認可の仕組みを実現するなど、システム面においても情報セキュリテ

ィの強化を図っている。

C 社がこれほど早い段階から情報セキュリティに注力している理由のひとつに、建設業は請負

業であるということが挙げられる。C 社が建設を委託される建造物は一つ一つそれぞれ異なるた

め、設計情報の機密度もその都度異なり、顧客の要望に合わせた業務プロセスの設計、および情

報の管理が求められる。C 社の顧客にとって建設投資は企業戦略そのものであり、それに関わる

企画書や図面は秘密として厳重に守らなければならない。そのために情報セキュリティを整備す

ることは必然であり、特にプロジェクトの早い段階で顧客の情報を預かる設計部門では ISMS の

認証を取得し、その手順に従った情報管理を行う必要があった。

また、建設業では何層もの下請け業者が関わる構造が一般的であり、現場においても多くの情

報が業者間でやり取りされることが多い。2005 年頃から Winny 等のファイル交換ソフトによる情

報漏えいが世間を賑わせるようになり、建設業界で発生したインシデントの影響で C 社もその対

応に追われる事態となった。建設業界の場合、情報漏えいが発生すると、建築物の機密度によっ

ては設計の見直しや建て直しが求められる可能性もある。それらはすべて事業者側の負担となる

ため、経営に対する影響は深刻である。そのため、C 社単体で情報セキュリティを担保するだけ

でなく、2 次・3 次の下請負業者も含めて、セキュリティを維持するための業務手順を定め、指導

する必要があった。

さらに C 社では、情報セキュリティを取り巻く ICT 環境の変化やインシデント、法制度の整備

の流れに沿って、情報セキュリティ対策の実施、見直しを推進しており、2012 年度には、国内特

定企業や府省庁を対象とした標的型攻撃による被害が多発したことを受け、組織内 CSIRT を発足

させた。

このように、C 社では、情報セキュリティに関するリスクを会社全体のリスクの一類型として

捉え、全社的な体制、仕組みを正式にオーソライズしている。

b）情報セキュリティに関する経営層や他部門とのコミュニケーション

C 社の情報セキュリティに関する経営層や他部門との関係やコミュニケーションは、「平時」と

インシデントが発生した「有事」に分けて社内規程に定められている。

平時は指揮統制型の階層組織により運営し、情報セキュリティの信頼性を高め効率化を進める

ことに主眼が置かれている。具体的には、情報セキュリティに関わる業務上の課題やリスクを組

織横断的に解決する場として、各部門の職位（部長/室長）と技術的な対応を行う担当者が参画し

63

ている「情報セキュリティ協議会」がある。

一方、有事の際は、社長をトップとする全社的リスクマネジメント体制により対応する。情報

共有および意思決定に必要な人員を即座に集め、スピード感を持ってインシデントレスポンスに

あたる。平時が階層組織を基本としているのに対して、意思決定の速さが求められる有事の際は、

キーマンや有識者を直接つなぐネットワーク型の組織により対応している。

一般的に、経営層や総務部門に対して技術的な内容で説明をしても理解が進まないという課題

が指摘されることがある。C 社では、社内関係部署への報告においては技術的な仕組みに重点を

置くのではなく、情報の内容や社内ルール、業務プロセスを中心として被害拡大防止や復旧のた

めに何をすれば良いかを説明することで、関係部署や CRO（Chief Risk Officer）、社長に対して判

断材料を適切に提供している。

意思決定をするためにいくつもの階層を経て承認を得なければならないような組織の場合、有

事の際に迅速な対応を行うことは難しい。近年のサイバー攻撃は高度化しており、侵入から情報

の抜き出しまでわずか数時間で完了してしまうケースを考慮すると、重大インシデント発生時の

コミュニケーションや意思決定の遅さは致命的ともいえる。C 社ではスピード感を重視するマネ

ジメント体制を構築し、効果的なインシデントレスポンスの仕組みを整えている。

C）CSIRTの体制と取り組み

C 社の CSIRT は情報部門と情報システム子会社のメンバによる仮想的な組織であり、それぞれ

が兼務でその役割を担っている。主に運用担当や品質管理のリーダークラスのメンバが CSIRT と

して活動するが、適性があると判断された若手も育成枠として体制に組み込んでいる点が特徴的

である。

インシデントが発生した際のハンドリングは、社内のキーマンや有識者を直接つなぐネットワ

ーク型の体制により対応する。インシデント発生時はこの全社的リスクマネジメント体制に情報

部門長が参加し、CSIRT は情報部門長の指示の下で対応に当たる情報セキュリティ専門組織とし

て位置付けられている。

CSIRT の位置付けを社内的にオーソライズするために、機能と役割、インシデント発生時の対

応体制や通報経路を社内規程にて明文化している。2007 年の情報管理関連規程改訂の際にインシ

デント対応のための業務ルールやセキュリティ実施基準を策定し情報管理体制を整備していたた

め、新たなルールや手順を構築する必要はなく、CSIRT という機能ユニットを関連付けするとい

う最小限の改訂で済んだ。

C 社の CSIRT は、情報セキュリティインシデントの対応の他、外部のセキュリティ専門組織や

ベンダーなどから提供される脆弱性情報や警告、知見などの公開情報( OSINT : Open Source

Intelligence )の収集・解析を行い、社内の ICT インフラの標準環境や運用状況を評価しサイバー攻

撃の脅威を可視化することで、新たな情報セキュリティ対策の計画・立案を実施する。近年であ

れば標的型攻撃に対する出口対策やログの統合管理などの施策が検討され、導入されている。

これらの計画は他の業務システムの開発案件や運用整備案件と同様に審査、評価され、導入の

可否が決定される。情報セキュリティ対策には「ここまで実施すればよい」という明確な基準は

64

設けにくいことから、外部の公開情報等から発生しうるリスクを想定し、それにより個々の対策

を評価することで全体のバランスを保つことを重要視している。「情報は対策の最も弱い部分から

漏えいする」という考え方と、「現場がやりたいことを安全にできるようにする」という考え方に

基づき、情報セキュリティの対策を立案する。

C 社の情報部門では週に 1 回の頻度で運営会議が実施されており、その中で情報セキュリティ

について毎週取り上げている。情報セキュリティに関わる公開情報のうち重要な項目について報

告、周知することにより、情報セキュリティに対する理解度や意識を高めている。

C 社は CSIRT や SOC（Security Operation Center）に求められる機能をすべて自社のリソースで

賄うのではなく、必要に応じて外部に委託している。情報セキュリティに関するスキルは専門性

が高く、内部でキャリアパスを構築することが難しいため、自社で実施すべき事項と外部に委託

すべき事項の判断を行い、アウトソースできる業務は積極的にアウトソースしている。その際に、

どの企業に依頼すれば、何を、どのレベルで、いくらくらいで実施してくれるのか、という情報

を平常時から押さえておくことが重要である。また、実際のビジネス現場を把握していなければ

正しい判断を行うこともできないため、すべてを外部に委託するのではなく、内部と外部のバラ

ンスを取りつつ、緊密に連携することが求められる。

d）外部に対する積極的な情報発信

C 社では、内部に対する情報発信と同様に、外部とのコミュニケーションも積極的に実施して

いる。これは C 社が CSIRT 立ち上げの時に参考とした、2012 年 1 月の内閣官房情報セキュリテ

ィ政策会議の議事資料にある「組織内 CSIRT 間の専門的、実務的な連携の必要性」、及び「日頃か

ら直接対面して各担当者間の人間関係を構築することの重要性」に鑑みた活動である。

日本シーサート協議会では、他社の経験に基づく対処方法などを取り入れたり、最新のサイバ

ー攻撃の傾向や手口を入手したりするなど、C 社にとって有益な情報を得ることができている。

ここで重要なポイントとして、「情報は発信しているところにしか返ってこない」という考えに基

づいて情報発信している点が挙げられる。

C 社は ICT 関連企業ではないため、脆弱性情報や技術的情報を発信することは難しいが、ガバ

ナンスの考え方、情報セキュリティポリシー、ISMS、CSIRT の整備等によって得られたノウハウ、

知見を様々なフォーラムや講演などで継続的に発信している。C 社自身が CSIRT を立ち上げる際

にも、先輩 CSIRT の話を聞く機会があり、自社も実施すべきと考えている。

e）C社ヒアリングから得られた知見

C 社の最大の特徴は、非常に早い段階から情報セキュリティの管理体制を構築してきたという

ことにある。最近でこそ情報の取り扱いに対する世間の目が厳しくなり、セキュリティが企業全

体のリスクとして捉えられるようになりつつあるが、C 社では十年以上も前からその姿勢を貫い

ている。

C 社では、情報セキュリティの役割を社長直下の組織を中心に持たせ、全社にガバナンスを利

かせることにより、他部署と対等の立場でのやりとりを実現している。階層構造が複雑だと縦方

向のコミュニケーションがとりづらくなるという C 社のコメントは、他企業でも同様と考えられ

65

る。その影響は、平時の際よりもむしろ有事の際に顕著に表れる。日常的にコミュニケーション

がとりやすい環境を整えることにより、いざという時に迅速な意思決定が可能となる。

また、情報発信は手間も労力もかかるうえ、企業防御の観点から情報セキュリティに関する対

策状況の開示には積極的でないケースが多いと思われる。しかし、C 社では、自らが情報発信す

ることによって、C 社単独では得ることのできない情報を収集するサイクルを確立している。

さらに、C 社は情報システム系の子会社を有しているとはいえ、情報セキュリティに特化した

技術者を多数保有しているわけではないため、CSIRT に必要なすべての機能を自前でそろえるこ

とは考えていない。自社の業務を把握している人員によるインソースと、外部のセキュリティベ

ンダーによるアウトソースのバランスをとっている。そのためには、さまざまなパートナーと日

常的にコミュニケーションを行い、そのケイパビリティや専門領域に特化した能力、コスト感を

把握しておくことが重要である。

D社（国内、製造）

D 社は関東に本社を構え、精密機器の製造を行う大手企業である。日本のみならず中国、アジ

ア・パシフィック地域を対象とし、連結の売上高が 1 兆円を超えるグローバル企業である。

a）役員や経営層に対する報告

D 社では、情報セキュリティを企業のリスクの一部として捉えており、リスクマネジメント全

般を担当する役員が情報セキュリティについても担当している。担当役員が関係者を緊急で招集

し、迅速な意思決定が行える仕組みが整えられている。

D 社の特徴として、経営層とのコミュニケーションの頻度が挙げられる。情報セキュリティに

関する現場からの情報はすべて D 社の CSIRT に集約されるしくみが整備されており、現場にも浸

透している。CSIRT は集約された情報に基づき、担当役員に対して毎週報告を行っている。この

週次報告では、重大なインシデントだけでなく、軽微な事象も含めて、すべて報告することが求

められている。報告業務にはそれなりの負荷がかかるが、重大インシデントが発生した場合に正

確かつ迅速に判断できるようになる効果が得られる。さらに、D 社の社長などの上級経営層に対

しても、月次での報告を実施している。

b）情報セキュリティに対する経営層の意識と外部への情報発信

製造業である D 社では、以前は自社が製造した機器や製品が正しく安全に動作するかどうかと

いう部分が最も重要とされていた。しかし、2000 年代に入り、物を作り販売するという形態から、

顧客の課題を解決するソリューション型へとそのビジネスモデルが徐々に変化し、顧客の重要な

情報を D 社が預かるということが増えた。そうした業務の変更に伴い、小規模ではあるが、その

情報に関連するトラブルが過去に連続して発生した。D 社の経営層はそれらを経営上のリスクと

して認識し、その意識を変革した。従来の製造業と異なり、ソリューション事業は目に見えない

ものであり、大きなインシデントを発生させてしまうと、最悪のケースとしてその市場からの撤

退もありうること、ソリューション型事業における顧客情報のセキュリティの維持が製造業にお

66

ける製品の品質保証に相当することから、D 社の経営層はセキュリティを重視している。

また、D 社の企業文化として、「顧客からの信頼」や「高い倫理」等が行動規範として明記され

ており、情報セキュリティを含むリスクマネジメントやコンプライアンスについても組織として

適切な対応をとることが必要とされている。このような側面も、セキュリティに対する経営層の

意識を高める要素と考えられる。

情報セキュリティに関する情報発信としては、D 社では、施策や実績を取りまとめた情報セキ

ュリティ報告書を公開している。情報セキュリティ報告書の効果として、D 社自身の従業員に対

する啓発ツールとして利用できる点、顧客満足度向上や営業案件受注のための販促ツールとして

利用できる点が挙げられる。特に後者については、D 社の情報セキュリティ報告書を見た顧客か

ら営業部門に問い合わせが来ることもある。

c）委託先管理

D 社の特筆すべき取り組みとして、委託先管理がある。2014 年に発生した某社の大規模な顧客

情報漏えい事件が委託先の従業員による犯行だったことを受けて、D 社でも委託先の管理方法の

見直しに着手した。日本全国で事業を展開している D 社は、多数の外部委託先をパートナーとし

てビジネスを推進しているが、情報の委託を行う場合の管理は十分でなかった。業務委託の現場

ではチェックリストで確認していたが、その結果をコーポレート側が把握し、管理するという体

制にはなっていなかった。

そこで D 社では、リスク管理部門と購買部門で連携し、チェックリストを管理する業務を購買

部門に集約した。また、現場が使用していたチェックリストを整理し、委託先の規模や形態に合

わせた 3 種類のチェックリストを策定した。さらに、その新しいチェックリストにより委託先の

情報管理体制を確認し、その結果をすべてデータベースに集約することにより、委託先ごとの情

報セキュリティの管理体制やレベルのばらつきを確認することを目指している。D 社が要求する

水準に満たない委託先に関しては、その考え方を直接伝えて、委託先の情報セキュリティ管理水

準の向上に注力している。

海外については、事業形態や現地の委託先との関係性が異なるなど個々の事情が存在するため、

ある程度の自由度は持たせているが、日本国内については対応方針を統一しており、D 社及び D

社の主要な関連会社では対応が完了している。これらは、リスク管理部門が支援し、D 社の購買

部門を中心に整備してきた。

d）D社の CSIRT活動

D 社の CSIRT が対象とするリスクは、サイバー攻撃やマルウェア感染などの外部要因と内部不

正などの内部要因とに分けられる。これらのリスクに対して、脆弱性情報の入手や外部 CSIRT と

の連携等の事前対応、サイバー攻撃やインシデントへの対応を中心とした事後対応、セキュア設

計・開発の支援、サイバー攻撃演習、訓練等のセキュリティスキル向上の 3 つの業務を実施して

いる。

外部 CSIRT との連携については、他社 CSIRT との定期的な情報交換や日本シーサート協議会へ

の貢献を積極的に実施している。

67

なお、D 社は製造業であるため、製品のセキュリティを担保しなければならないが、いわゆる

PSIRT (Product Security Incident Response Team) の機能は開発部門側に持たせており、CSIRT は外

部から入手した脆弱性等の情報を社内の PSIRT に迅速に共有するという形で連携している。

D 社の CSIRT はリスク管理部門、情報システム部門、品質保証部門、開発部門などの約 20 名

の部門横断的なメンバから構成されるバーチャルな組織である。D 社では CSIRT の方針の中で

「所属組織の役割を果たすことはもちろんのこと、所属組織の壁を超えて全社レベルでのリスク

最小化、被害極小化に向けて最善を尽くす」としている。特定の商品やサービスだけを担当する

のではなく、全社的なリスクについて考えるという立場に立つことにより、メンバに取り組む意

欲を持ってもらうことを狙いとしている。さらに、サイバー攻撃演習を実施し、有事の際には自

分が対応しなければならないという意識を常に持つようにして、参加意欲を高めている。

e）D社ヒアリングから得られた知見

D 社の取り組みが成功している理由として、経営層の意識による部分が大きいと考えられる。

日常的なトラブルを軽微な事象として片づけるのではなく、それを重大なインシデントの前兆と

して捉える、いわゆるハインリッヒの法則に基づき、情報セキュリティ活動を推進するという姿

勢は、適切なリスク管理の取り組みと言える。

たとえば、現場から経営層に対する報告は、情報セキュリティ担当役員には週次、社長等の上

級経営層には月次で行われている。報告を行う側、受ける側の双方に、相当の意識付けがなけれ

ばこれを継続するのは難しい。

また、委託先管理については、現場任せにするのではなく、コーポレート側で明確な基準を設

け、委託先に関する統制を行っている。加えて、D 社が期待するセキュリティレベルに満たない

委託先に関しては個別にフォローアップを行い、商習慣の異なる海外にはある程度の裁量を与え

るなどの柔軟な運用を実施している。明確なポリシーと柔軟な運用の両面がこの取り組みを成功

させていると考えられる。

D 社の CSIRT は専任部隊ではなく、複数の部署の人間による仮想的な組織形態であるため、メ

ンバによっては CSIRT に取り組む意欲を維持するのが難しい。そこで、サイバー演習を実施する

ことで、有事の際における危機意識を日常的に持たせるなどの工夫を行っている。

結果の考察

これまで見てきたとおり、国内の企業 4 社に対して情報セキュリティの取り組みに関するヒア

リングを実施し、他の企業でも参考になるベストプラクティスを探った。それぞれの企業は業種

も規模も企業文化も異なるため、情報セキュリティに関する組織の在り方、具体的なアプローチ

については多様であったが、共通的な事項が多く存在していたこともまた事実である。

本項のまとめとして、4 社のヒアリングを通じて共通的に得ることのできたエッセンスを抽出

し、整理する。これら 4 社は情報セキュリティに注力しているものの、いずれも特殊な企業では

なく、一般的な企業にとっても参考になるポイントが含まれている。

68

ポイント 1. 経営層が情報セキュリティを経営課題として認識している

これはヒアリング対象の 4 社全ての企業において共通している事項と言える。「経営層が情報セ

キュリティを経営課題として認識する」とは、情報セキュリティインシデントが経営に及ぼす影

響を理解し、リスクの現状を踏まえ対応方針を検討する社内体制や CSIRT の整備、対外的な情報

発信といった取り組みを通じてガバナンスを確立することである。

特に C 社は、自社の情報セキュリティインシデントではなく、同業他社のインシデントにより、

情報セキュリティの重要性を再認識し、さらに強化するというアプローチをとっていた。下請け

企業も含め大きな問題を起こすと入札に影響が出てしまう、という建設業特有の事情が影響した

可能性はあるかもしれないが、対岸の火事とせず、自社の情報セキュリティの状況を振り返り、

さらに強固なものにするという C 社のアプローチは、一般の企業でも参考になる事例である。

B 社と D 社の事例の共通点は、ビジネス形態の変化に伴い企業リスクを適切に再評価した、と

いう点である。B 社の場合はクラウドサービスへの参入、D 社の場合はソリューションビジネス

への移行がそれぞれ転換点である。ビジネス形態が変わることにより、情報の価値や情報セキュ

リティの重要性を改めて認識し、それを経営課題として捉え、現場の施策にまで落とし込んだ点

で、重要な事例である。

東日本大震災以降、企業のサプライチェーンが分断されることを企業リスクとして捉え、本社

や工場の移転、分散を進める動きが出ているが、災害を重大な企業リスクとして経営層が認識し

ているからこそ、膨大な費用が必要となる対策の検討が進められているといえる。経営層が情報

セキュリティをどの程度の事業上のリスクとして認識しているかによって、会社としての取り組

み、またその効果は変わってくると考えられる。

ポイント 2. 外部に対する効果的な情報発信と社会貢献を実施している

いずれの事例においても、外部に対して積極的に情報を発信していたが、その具体的な方法は

様々である。

A 社では自社ネットサービスに関連する脆弱性情報を、B 社では自社の製品・サービスに関す

る脆弱性情報やセキュリティの取り組みを、Web サイト等で公開している。C 社では、ユーザ企

業として培ってきた様々なノウハウを講演会やフォーラム等で公開し、これから情報セキュリテ

ィに本格的に取り組む企業に対する情報提供を継続的に行っている。D 社では情報セキュリティ

報告書というかたちで、情報セキュリティに対する考え方や取り組み、計画と実績を発信してい

る。顧客からの関心の高い D 社が製造する製品に関するセキュリティ対策についても併せて触れ

ている。これらを見ても、情報セキュリティに関する発信の内容・方法は一つではなく、その企

業に最適な形を選択することが望ましい。

さらに、これらの情報公開には二つの共通項がある。一つは情報を積極的に発信することが社

会貢献になると認識されている点、もう一つは情報公開を営業ツールとして活用している点であ

る。セキュリティに関する情報を公開することは敬遠されがちであるが、それを逆手に取り、積

極的に公開することにより得られるメリットも考慮することが望まれる。

69

ポイント 3. 内部でのコミュニケーション、意思決定に工夫が凝らされている

情報セキュリティに関する組織内部のコミュニケーションについては、各社とも工夫がみられ

る。A 社のように、経営陣の一員でもある CISO に権限を集中させる方法もあれば、B 社のように

事業側、統制側の責任者の合議とする方法もあり、C 社、D 社のように企業リスクの一部として

捉え、CRO を中心に管理している組織もある。これらの方法に明確な優劣があるわけではなく、

その企業の成り立ちや文化、組織の規模や成熟度合によって最適な形態は異なると考えられる。

しかし、情報システムを担当する組織だけでクローズするのではなく、組織の垣根を越えて情

報セキュリティに関する考え方や意識、方向性を共有するという方針は、4 社全てに共通してい

る。具体的な方法は異なるものの、平常時から組織横断的にコミュニケーションする仕組みが整

っている。

このような仕組みを作る上では、一つ目のポイントにも関連するが、やはり企業トップの方向

性が明確に打ち出されていることが重要であろう。企業として最も重要視することを、トップ自

らの言葉で明示することによって、CSIRT の現場はそれに則った形で活動できるようになる。

70

4.2.米欧企業へのヒアリング調査

調査の概要

本調査の一環として、米欧企業の情報セキュリティに対する取り組みの実態及びベストプラク

ティスの把握を目的に、海外企業 7 社及びセキュリティ関連団体 1 団体に対してヒアリングを実

施した。主な調査項目は以下のとおりである。

CISO の役割や権限

CISO の責任や権限、企業内での位置づけ

サイバーリスクの経営課題としての位置づけ

CISO としての取り組みや課題 等

CSIRT に関して

CSIRT の役割や権限、設置目的

CSIRT に対する評価

CSIRT 運営に関するベストプラクティス 等

サイバー保険に関して

加入状況

加入または未加入理由 等

その他

個社別の質問

日本企業へのメッセージ 等

今回ヒアリングを実施した企業の概要は下表のとおりである。

業種 会社規模（単体社員数） E 社 投資銀行 1,000 人以上 F 社 保険 1 万人以上

G 社 電機 1 万人以上 H 社 建設 1 万人以上 I 社 航空 1,000 人以上 J 社 製薬 1 万人以上 K 社 海運 1 万人以上 L 団体 ユーザ系セキュリティ団体 －

表 4.2-1 ヒアリング対象企業の属性

ヒアリング結果

E社（米国、投資銀行）

E 社は米国に本社を置く大手投資銀行である。同社は米国内以外にも、欧州・アジアに拠点を

71

置き、グローバルに事業を展開している。売上高は数十億ドルで、従業員数は 1,000 人以上であ

る。

a）組織的対策の方針について

E 社は、サイバーリスクを他の事業リスクと同様に最重要リスクとして認識しており、経営層

もサイバーセキュリティの重要性を認識している。

同社の保護すべき情報資産で最も重要なのは、投資家及び社員から提供された機密情報（知的

財産情報、従業員情報、投資家情報）及び自社の評判(レピュテーション)・ブランドである。特に

自社の評判を重視しており、自社の評判の毀損がファンドの資金獲得に影響を与えると考えてい

る。

E 社では経営層が日常的に新聞報道等からセキュリティインシデントやサイバー犯罪に関する

情報を収集しており、サイバーセキュリティに対する理解がある。E 社では経営層の理解に加え

情報資産の毀損による事業への影響が大きいことから、セキュリティ強化に関して積極的な予算

措置をとっている。また、企業の評判への影響を最大の懸念事項と考えており、それを守るため

には全ての対策を実施する方針である。そのため、セキュリティ投資に関して、ROI（Return On

Investment）は重視されていない。

b）CISO について

E 社の CISO は CTO（Chief Technology Officer）の傘下に置かれ、同社のセキュリティプログラ

ムに責任を持っている。CISO から報告を受けた CTO は CFO へ報告を行っている。

CISO は定期的な経営陣への報告を実施している。具体的には、四半期毎の CEO/COO（Chief

Operating Officer）への報告書作成、ワーキンググループ（各関連部署への報告とインプット）で

の報告、月次での CTO・CFO への報告である。

CISO に求められる資質としては、技術知識やマネジメントの能力をあげており、特にベースと

なる技術知識は CISO に必須の能力としている。E 社 CISO は技術出身で、以前は技術出身の CISO

が多かったが、最近ではマネジメントのポジションから CISO になるパスも増えつつある。この

背景としては、CISO の重要な責務の一つとしてリスクマネジメントがあり、この実現のためには

経営陣やステークホルダー、セキュリティ関連部署の技術者とコミュニケーションを行う能力が

求められるためとしている。また、CISO に関しては専任としたほうがよいと指摘している。これ

は、サイバーリスクは他のビジネスサポート機能（特に IT）との調整が必要で、利益相反となる

可能性もあることから、専任にしたほうが円滑に組織運営ができるためである。

また、CISO が同社のセキュリティ対策を進める上での課題として、セキュリティとビジネスの

両立をあげている。セキュリティ対策を進めることによりビジネス展開に影響が発生する可能性

があるが、同社ではリスクベースポリシーの策定と例外対応でこの課題に対応している。特に後

者は、ポリシー規定に違反しているが特定のプロジェクトの遂行上必要と考えられるサービス（ク

ラウドサービス等）の利用に関しては、例外的に許可することで利便性を損なわないように配慮

している。同社では、通信や PC の状態等を可能な限り可視化し、通常と異なる行為や活動を早期

に検知する体制とすることで、セキュリティとビジネスの両立を図っている。

72

c）CSIRTについて

E 社は CSIRT を設置しており、インシデント発生時の技術的調査や情報収集、経営陣等への報

告、外部との調整の役割を担っている。

同社の CSIRT では、日常業務のモニタリングの一環として「ハンタープログラム」を運営して

いる。これは、定期的にエンドポイントをスキャンし、通常と異なるプロトコルやバイナリーな

どを観察し、少しでも疑わしい痕跡がないかを調査するものである。同社はこれまでの、インシ

デントを検知してから対応する受動的な運用であったセキュリティ対策を、インシデントにつな

がり得る要因を積極的に発見する能動的な方法に移行することで、インシデントの発生を未然に

防ぐ取り組みを行っている。また、内部インシデント対応も強化しており、各従業員のアクセス

権限を明確にし、技術・プロセスで制御する施策を導入している。

現在 CSIRT が抱えている課題には、IAM（Identity & Access management）の強化とフィッシング

対策がある。フィッシング対策に関しては従業員教育を強化することで対処している。従業員教

育はグローバルで半年に 100 回程度実施しており、フィッシングメール対策の訓練は経営陣も含

めて実施している。また、CSIRT を運営する上での課題では、誤検知の増加とそれへの対応をあ

げている。複数のセキュリティ機器からアラートが上がるため、その分析と調整にリソースが割

かれている。

E 社は CSIRT の効果的な運営には、演習による関係者の経験値向上が重要であると考えている。

そのため、E 社では現在、CSIRT のトレーニングプログラムを策定しており、年 1 回実施の方向

で検討している。トレーニングはサードパーティに委託し、技術的対応中心のものと、社内関係

各部署（人事、広報、経営陣など）参加のフル演習の 2 種類を実施予定としている。

d）サイバー保険について

E 社はサイバー保険に加入していない。未加入の理由としては、現在のサイバー保険ではセキ

ュリティ対策状況に関する明確な評価基準や標準が整備されていないことをあげている。また、

保険料が高額であるが、保証される範囲がインシデント発生時の調査費用等のみであり、自社の

事業に莫大な影響を与える、自社の評判へのダメージに関してカバーされないこともあげている。

e）その他

E 社では投資先のセキュリティ評価を実施する際、投資先企業の CEO/CFO に対して 12 項目（セ

キュリティ予算有無、セキュリティ責任者有無など）の質問状を送付し、回答状況によりセキュ

リティ格付けを実施している。これにより投資可否が決定する訳でないが、セキュリティ強化に

必要な費用は企業評価に反映される。また、各投資対象先のセキュリティ状況へのコンサルと支

援（例えば、セキュリティ人材の紹介、リスク評価実施など）を実施している。

F社（米国、保険）

F 社は米国に本社を置く大手医療保険会社である。同社は米国内外で事業を展開している。売

上高は数百億ドルで、従業員数は 1 万人以上である。

73

a）経営層の認識について

F 社ではサイバーリスクがビジネスに直接的に影響を及ぼすリスクであると認識されている。

同社には全社のセキュリティを管理する Global Security Group があり、CSO（Chief Security Officer）

がトップを務めている。CSO は物理的セキュリティとサイバーセキュリティの両方を管轄してお

り、サイバーセキュリティのトップが CISO である。現在 CISO は CSO を兼務している。

F 社の保護すべき重要資産は、顧客情報と知的財産である。これらを保護するためにデータ保

護（機密区分の指定や暗号化）やシステムの構成管理、リスク評価等の必要なセキュリティ対策

を実施しており、競合他社に対する競争優位性を保てるように取り組んでいる。

b）CISO について

CSO は、CEO や COO、CFO 等をメンバとする Executive Committee の下に位置づけられている。

同社の CISO は、情報資産保護に必要なプログラムの策定や優先順位の検討、経営陣を含めた

関係者に対する説明、必要な予算や人員を確保する役割を担っている。セキュリティプログラム

の策定にあたっては、情報資産保護に必要なプログラムを検討し、事業リスクと事業目標とのバ

ランスを考慮し優先順位付けを実施している。また、CISO は Security Steering Committee の委員長

を務めており、リスク情報の共有や新規セキュリティプロジェクトの説明等を実施し、セキュリ

ティ対策状況の可視化を図っている。

F 社では CISO が考案したリスクスコアカード（8 分類されたセキュリティ項目に関して、発生

頻度やインパクトをもとにスコア化。NIST や ISO 等の標準を参考に作成）をもとに、リスク評価

を実施している。この評価結果を、F 社全体のリスクを管理するエンタプライズリスクマネジメ

ントオフィスと共有することで、サイバーリスクもビジネス上の重要なリスクの一つとして位置

付けられるようにしている。

CISO が抱える課題は、セキュリティ対策を推進する上での経営陣に対する説明とセキュリティ

人材の確保である。前者は、経営陣が期待する対策レベルと現状の予算・人員で実施できるレベ

ルとのギャップを示し、今後必要になる対策のための予算・人員を確保し、いかに成果を上げる

かである。特に、セキュリティ投資を経営陣に説明する際には、セキュリティ対策を適切に導入

することによるビジネスプロセスの効率化や、顧客満足度の向上等の観点から KPI（Key

Performance Indicator）を示すことが求められている。後者に関しては、能力のある人材を確保・

維持するために、適切な評価やインセンティブを付与する必要性をあげている。また、セキュリ

ティ分野は現在人気のある職種で確保が難しいため、自社で人材を訓練することも検討している。

c）CSIRTについて

F 社は CSIRT を設置しており、専任者に加え、ローテーションベースで 20～25 人の兼任者がい

る。CSIRT は原則としてインシデント発生時のハンドリングの全責務を担っており、インシデン

ト発生時には必要に応じて必要な部署の適切な人員をアサインすることとしている。また、この

プロセスは文書化されている。

同社の CSIRT 機能には、SOC とサイバーインテリジェンス機能がある。SOC は定常的なモニタ

リングを中心に担当し、サイバーインテリジェンスチームは日々情報の収集や分析、共有を行っ

74

ている。また、CSIRT の日常業務の一環として、従業員向けの教育を実施している。具体的には、

年に 1 回全従業員が受講するオンラインベースのトレーニングやニュースレター形式での注意喚

起、フィッシングメール対策の訓練を実施しており、従業員のセキュリティに対する意識を向上

させる取り組みを進めている。

F 社は CSIRT を効果的に運用するために、インシデント対応時の手順や教訓の文書化、他部門

でのインシデント（非セキュリティ）対応のベストプラクティスの共有をおこない、改善に取り

組んでいる。また、運用手順等の文書類を整備するだけでは不十分と考えており、四半期ごとに

関係者が参加する演習を実施している。この演習は、現実のケースに近いシナリオとしており、

関係者が一堂に会する場合とバーチャルで実施する場合がある。シナリオの策定に当たっては、

情報資産を扱う委託先等からの知見等を取り入れて、より効果的なものとしている。さらに、情

報資産を取り扱う委託先も演習に加えることで、より演習の効果が上がるとしている。

現在同社のセキュリティチームが抱える課題は、クラウドの活用と委託先の管理、各地域の文

化・慣習への対応である。特に委託先に関しては、2 次・3 次といった再委託先のセキュリティ対

策状況は十分に把握できておらず、この対策として、契約にセキュリティ要件を追加したり監査

を実施したりしている。また、同社はグローバルに事業を展開しているため、各地域の文化や慣

習の違いを考慮したセキュリティ対策を検討し、24 時間 365 日体制で運用する必要がある。地域

特性を考慮する点に関しては、各地域の法律や慣習等を熟知した担当者を設置することで対応し

ている。

d）サイバー保険について

F 社は 7 年ほど前からサイバー保険に加入している。加入目的はインシデント発生時の経費を

カバーすることである。

サイバー保険自体に関しては、インシデント発生による短期・長期の損失をカバーするレベル

にまでは成熟していないと判断している。

G社（米国、電機）

G 社は全世界で事業を展開する総合電機メーカーである。グループ全体の売上高は数百億ドル

で、従業員数は 1 万人以上である。

a）組織的対策について

G 社はインシデント経験等を受けて、2012 年にグループ全体のセキュリティを管轄する組織を

米国に設置した。本社所在地と異なる米国に設置した理由は、必要人員の確保に適していること、

グローバルの CISO は米国に配置したほうがよいと判断したためである。本社との時差等の問題

は、適切なプロセスの構築等を行うことで対応している。

同組織には現在 150 名程度の従業員が所属し、CSIRT やリスク管理を担当する 5 つのグループ

で構成されている。また、自社で独自の SOC（米国・欧州・アジアに 4 拠点）を運用しており、

2016 年にはグローバルで人員を 3 倍に増加させる予定である。

G 社では CISO を CEO の直下に配置（ただし、経営陣の一角ではない）しており、CISO は CEO

75

に直接アドバイスできる環境にある。これは、同社が情報セキュリティを重要課題として認識し

ていることの現れであり、CEO を始めとした経営陣もその重要性を理解している。

G 社はグローバルに事業を展開しているため、委託先の管理が重要な課題となっており、同社

では第三者による委託先のリスク評価を実施している。リスク評価にあたっては、G 社の本社が

作成したチェックリストを委託先に定期的に提出するよう求めている。今後は第三者に委託して

いるこの業務を社内に取り込む予定である。

b）CISO について

G 社の CISO の責務は、グループ全体のネットワーク・情報資産の保護及び情報リスクの管理に

対して専門的な知見をもたらし、専門家の観点から適切なアドバイスをすることである。具体的

には、必要な予算の確保、経営陣への説明・承認獲得、ポリシーの策定および執行、グループ各

社との調整や管理監督、定常的な経営陣へのレポート、プライバシー分野に関する責務を担って

いる。経営陣へのレポートに関しては、定常的（報告書や対面での打ち合わせ、グループ会議等）

なものとインシデント発生時や新たなリスクが顕在化した時等の不定期なものがある。

これらの活動を実施するにあたり、同社の CISO はグループ全体の情報セキュリティ関連支出

に関して、絶対的な予算の執行権を有している（ただし、予算取得権限者は CFO で、多額の投資

に関しては経営陣の承認が必要）。これにより、グローバルで共通のソリューションを導入する等

の最適な予算配分と執行が可能となっている。 セキュリティ対策を進める上での課題は、セキュリティインシデントが事業へ与える影響を見

える化することである。セキュリティに関して経営層の理解はあるが、承認を得るためにはリス

ク（ブランドダメージやコンプライアンス違反等）やインパクトを定量的に示す必要がある。現

状、定量化は難しく、事業への影響がすぐに見えないケースもあるため、ROI のような指標を示

すのは難しいとしている。このような状況下で、適切にセキュリティ対策を進める上ではトップ

マネジメントからの「信頼」を勝ち取ることが重要であると指摘している。 また、経営陣・従業員の教育も課題としてあげている。情報セキュリティは比較的新しい分野

のため、経営陣・従業員の誤解を招きやすく、定常的に情報を提供し認識を正す必要がある。特

に、インシデントを未然に防ぐためには従業員の役割が重要であり、実施してよいこと・実施し

てはいけないことを示して、従業員の理解と意識を向上させることが重要としている。 さらに、G 社は多数の地域・国に事業展開しているため、文化の違いへの対応も重要な課題に

あげている。同社では各文化の違いを可能な限り尊重することとし、セキュリティポリシーに「例

外」規定を設けることや、新規セキュリティプログラムを導入する際はグローバル委員会で検討

し、地域毎の違いや要件を取り入れるようにしている。

c）CSIRTについて

G 社はインシデントに対して受動的ではなく、能動的に抑止・予防していくことを目的に、グ

ループ全体を管轄するグローバル CSIRT を設置した。グローバル CSIRT はインシデント発生時の

検知・対応や影響度分析、日常業務ではリスク評価や情報収集、監視、マルウェア解析、社内外

のステークホルダーとの情報共有を行っている。インシデント発生時には CSIRT に加え法務や広

76

報等の関係部署も含めたチームが構築される。

同社ではグローバル CSIRT を設置するにあたり、ロードマップを含む戦略的な計画を策定した。

この計画の進捗状況を確認するために、メトリクス分析（インシデント数・種類、検知までの時

間、レスポンス時間、根本原因、インパクト分析）や第三者による監査、ヒアリング、競合他社と

のベンチマーキングを実施している。

G 社 CISO は CSIRT を効果的に運営していくためには、人材が重要であると指摘している。人

材は経験だけではなく、知的好奇心や分析能力、問題解決志向の高さが重要であり、適材適所へ

の配置や継続的なトレーニングを実施することが必要としている。また、CSIRT 機能については、

自社ですべてそろえる必要はなく、アウトソースも検討したほうがよいとし、アウトソースする

場合は CSIRT の専門家を少なくとも 1 人は設置したほうがよいとしている。

演習実施に関しては、対応手順の文書化が重要としている。G 社では日常ベースで発生するイ

ンシデント（軽度のものを想定）を演習の場として活用しており、そこから得られた知見や改善

事項を文書化することが効果的な運営には必要であるとしている。

d）サイバー保険について

G 社はサイバー保険に加入している。加入理由は、他の事業に関わるリスクと同様に、保険に

よってリスクを管理することが必要だと考えたためである。

保険でカバーする範囲に関しては、自社の関係者を巻き込んだ形で分析しており、必要に応じ

て保険会社の担当者も参加している。

H社（米国、建設）

H 社は米国に本社を置く重要インフラ関連分野のエンジニアリング、建設企業である。全世界

に 100 以上の拠点があり、従業員数は 1 万人以上である。

a）組織的対策について

H 社は 2014 年の新たな CEO/CTO の就任を契機として CISO を設置した。CISO を設置した理由

は、CEO/CTO の両者がサイバーセキュリティの重要性及び競合他社との差別化要素としてセキュ

リティを重視したためである。同社は、各国政府や重要インフラ企業を主要な顧客としており、

セキュリティ要件を満たすことは同社のビジネス上重要な要素となっているため、サイバーセキ

ュリティの責任者を設置することで、セキュリティを重視していることを対外的に示している。

H 社が保護すべき情報資産として重視しているのは、プロジェクト関連データと人事データで

ある。現在同社は事業拡大に向けた取り組みを開始しており、人員の増加による個人情報保護が

重要な課題となっている。

b）CISO について

H 社の CISO は CFO の直下に設置され、ボードメンバーである CFO のもとで同社のリスク管

理を担っている。CISO には現在 2 名の直属の部下がおり、残りのメンバーは委託先のスタッフで

構成されている。そのため、CISO はほぼすべてのセキュリティプログラムに関与している。

H 社の CISO は、全てのセキュリティプログラムに対する責任と権限を有している。就任初年

77

度は必要なプログラムの特定と対策計画の立案、予算の検討をおこない、2 年目の現在はその導

入に向けた取り組みを始めている。計画立案の段階では、ISO や NIST の標準などを参照して、

顧客の要求レベルに沿ったセキュリティポリシーを策定している。また、CISO は 2 週間に 1 回は

CIO と、1 か月に 1 回は委託先と面談を行い、四半期に 1 回は Executive Leadership Team への報告

を実施している。

同社では、セキュリティ対策がビジネス上不可欠な要素となっているため、セキュリティ投資

に対する経営陣の理解はある。新たなセキュリティ対策を導入する際には、業界他社とのベンチ

マークだけではなく、顧客のセキュリティレベルと比較し、セキュリティ対策を実施しない場合

ビジネス自体が成立しないとのストーリーで経営陣に説明している。

CISO に求められる資質としては、技術、特に IT に対する理解が必須としている。CISO はマネ

ジメント職の一つであるが、IT がビジネスに欠かせない要素となっている中で、IT 知識を有しな

い CISO では責務を果たすのは難しいと認識している。また、技術的な知識に加え、コミュニケー

ションを含めた「人」への対応スキルも必須としている。

c）CSIRTについて

H 社は自社で CSIRT を抱えておらず、アウトソースを活用して専任のチームを構築している。

CSIRT 機能を外部に委託しているものの、全体のコーディネーションや最終的な責任は CISO が

担っている。また、情報収集・分析に関しては、アウトソース先だけではなく H 社でも実施して

おり、リスク評価は自社のコンサルタントを活用している。

H 社では演習を四半期ごとに実施している。演習には自社のセキュリティチームに加え、社内

関係部署や外注先も参加している。この演習は現実に近いシナリオで実施し、定常的な改善やサ

プライチェーン全体での取り組み状況の把握を目的として実施している。

現在 H 社のセキュリティ上の課題は、従業員教育とインシデント発生時のグローバル対応であ

る。

H 社は 1 万名以上の従業員を抱えており、契約社員まで含めると 10 万名を超える。さらに、今

後の事業拡大によりその数は増える見込みであり、これらエンドユーザのセキュリティ意識の向

上は重要な課題となっている。現在は、情報セキュリティやコンプライアンスに関するオンライ

ン形式・集合形式での教育や、セキュリティニュースを毎週全社員に配信するなど、注意喚起を

行っている。また、同社はグローバルに事業を展開しているため、文化や言語の違いを考慮した

教育資料を作成している。

H 社はグローバルに事業を展開しているが、インシデント対応体制は米国に集中しており、現

時点では現地の担当者が対応することは難しい。各国で質の高い人材を確保するのは難しいため、

今後は主要拠点にセキュリティ責任者を任命し、CISO 自ら現地に赴き、人材採用からトレーニン

グ実施までを行うことで対応する計画である。

d）サイバー保険について

H 社はサイバー保険に加入している。インシデント発生時のコスト負担を軽減することを目的

に加入しており、保険料は少額となっている。

78

サイバー保険の加入効果としては、外部に保険加入を示すことで信頼度が上がる点にある。ま

た、政府や重要インフラの顧客からの要求事項として、サイバー保険の加入があげられるケース

が増加しており、今後必要に応じて補償範囲を拡大する必要がある。

e）その他

H 社の CISO は月の半分は本社で勤務し、残り半分は自宅からリモートで働くスタイルを採用

している。アウトソース先のオフィスが自宅周辺にあるため、リモートで勤務するスタイルでも

上手く機能している。同社 CISO はこの勤務スタイルを、セキュリティスタッフのグローバル化

に活用できないかを検討している。

I社（欧州、航空）

I 社は欧州に拠点を置く航空会社である。I 社の主な路線は欧州域内便で、売上高は 10 億ドル以

上、従業員数は 1,000 人以上である。

a）組織的対策について

I 社は複数のエアラインなどから構成されるグループに最近買収され、現在グループ全体でのサ

イバーセキュリティに関する対応計画を策定している。

I 社自体のセキュリティチームは現在 2 名で、技術的な対策に関しては別グループである IT グ

ループが担当している。セキュリティチームは、ポリシーの策定や執行、その他のセキュリティ

施策の執行を担当している。

I 社が保護すべき情報資産は、顧客情報とメンテナンスデータである。メンテナンスデータには、

機体のメンテナンス・テスト情報や、パイロット情報、飛行記録・予定、天候情報等が含まれて

おり、これらの情報が漏えいすると運航に支障を来し、同社の事業に大きな影響が生じる。

I 社は航空会社という性質上、安全性の確保を最重要視しており、サイバーリスクを他の事業リ

スクと同等のリスクに位置づけ、経営層のセキュリティに対する理解もある。そのため、セキュ

リティ投資判断の際も、ROI よりもリスクをどれだけ低減し安全性の向上に寄与するかを重視し

ている。また、昨今の英国におけるセキュリティインシデントでは、CEO 自らがメディアで釈明・

説明を求められるケースが増えており、同社 CEO はこのような事態を避けたいと考えているた

め、セキュリティの強化につながっている。

b）CISO について

I 社は CISO を設置していないが、同等の役割と権限を持つ責任者を任命している。情報セキュ

リティ責任者は、サイバーセキュリティに関する全責任を負っている。また、情報セキュリティ

責任者は IT 部門の責任者も兼務しており、セキュリティ上の課題やインシデント発生時には、IT

部門の指揮命令も担う。

情報セキュリティ責任者は、情報セキュリティ委員会のメンバとして、Company Secretary（ボ

ードメンバーの一人で、法務責任者）等にサイバーリスク情報の共有や対策の現状を四半期に 1

度報告している。この会議では、今後の必要施策等が議論されており、対策導入の可否について

意思決定される。CISO はこの Company Secretary への報告に加え、Director of IT に報告しており、

79

将来的にはグループ本社のセキュリティチームへの報告も加わる可能性がある。

新規のセキュリティ対策やプログラムを導入する際には、セキュリティチームと関係部署で共

同してビジネスケースを作成し、経営層に提案している。その際、ROI よりもリスクベースでの

安全性確保の観点から説明し、理解を求めている。

I 社の情報セキュリティ責任者が対策を進める上での課題は、セキュリティの必要性や脅威等を

従業員に理解させることである。効果的な教育、意識向上プログラムの実施は不可欠であるが、

航空会社ではフライトスタッフなど常に動いているスタッフや、常に顧客情報へのアクセスが必

要となるカウンタースタッフ等様々な職種があり、それぞれに対してどのように教育を実施する

かが大きな課題となっている。さらに、最近では従業員のソーシャルメディア利用が増えており、

そこからの情報漏えい等の対策も課題となっている。

c）CSIRTについて

I社には最近まで正式なインシデントレスポンス計画はなかったが、2016年に入り完成させた。

セキュリティを含めたすべてのインシデント対応は IT 部門に所属するサービスマネージャーが

担っており、インシデント発生時にはセキュリティチームが招集され、必要となる関係部署の人

員をアサインする形で CSIRT を構築している。I 社ではフォレンジックやデータ復旧等、インシ

デント発生時の対応の実務に関しては、基本的には外部リソースを活用している。

脅威情報等の収集は I 社が拠点を置く政府機関から共有されているが、その中心はテロリスト

や詐欺等に関する情報である。I 社は政府から提供される情報のみでは不十分と考えており、同社

が買収された航空連合のグループ内で情報を共有する体制を現在検討している。

CSIRT を運営する上では、自社以外が原因で発生するインシデントを考慮した対策を検討する

必要があるとしている（例えば、クレジットカード情報漏えいが自社で把握していないサードパ

ーティの再々委託先の不手際で発生してしまうケース等）。I 社では、このような課題に関しては、

定常的な情報収集とセキュリティ対策、演習で対処する方針としている。また、対策状況を把握

出来ない委託先を減らす努力として、セキュリティ状況の事前監査の実施や、契約事項としてセ

キュリティ要件を明記する事も検討している。

同社では、飛行機がハッキングされコントロールされる可能性に関しては、現時点では大きな

脅威としては考えていない。これは、パイロットが運行に必要とする情報はクローズドな環境で

管理されており、攻撃されるまでにはまだ一定の時間がかかると予測しているためである。

d）サイバー保険について

I 社はサイバー保険に加入していない。未加入の理由としては、保険料が高額であること、イン

シデント発生時の補償を得るための基準や必要な対策の定義が 100％明確でないことがあげられ

る。

サイバー保険に関しては、EU の個人情報保護規制が 2018 年に執行される時点で、サイバー保

険自体が洗練され加入が進むのではないかとしている。

80

e）政府の取り組みについて

I 社が拠点を置く国の政府では、2015 年にセキュリティを所管する機関が設置され、現状 3 名

ほどのスタッフで運営されている。

同国では、グローバルで展開する IT 企業が立地しているものの、その企業の社員の多くは海外

出身者である。この点に関して、政府は地元の雇用促進を目的に、政府・大学共同で大学でのサ

イバーセキュリティ教育に着手しており、政府が各教育機関にお墨付き（Center of Cyber Security

Education）を与えることでそれを支援している。

J社（欧州、製薬）

J 社は欧州に本社を置くグローバルに展開する製薬企業である。従業員数は 1 万人以上で、売上

高は数百億ドルである。

a）組織的対策について

J 社はサイバーリスクを経営上の 10 大リスクの一つとして位置付けており、経営陣が常にモニ

タリングする対象となっている。サイバーリスクが 10 大リスクの一つになった理由は、サイバー

攻撃により同社の生産に影響が発生した場合、医薬品の供給に影響が発生し、世界中の医療機関

等に影響が波及するためである。特に、J 社が世界中で必要な量の約半分を供給しているある医薬

品に関しては、生産停止の影響は計り知れない。

同社が保護すべき重要資産には、製造過程の可用性と特許取得前の知的財産情報、製造ノウハ

ウがあげられている。

J 社ではこれまで IT 分野の担当者として位置付けられていた CISO を、Executive team のメ

ンバに格上げし、ボードレベルに限りなく近いものとした。これは同社が、セキュリティを重視

する姿勢を明確にするためである。

b）CISO について

J 社の CISO はサイバーセキュリティ対策に関する権限を持っており、セキュリティやプライバ

シー確保に必要な施策・対策の策定、リスク評価と分析の役割を担っている。また、予算確保が

必要な場合には、ビジネスケースを策定し経営陣に提示・説明し、承認を受けたうえで適切な予

算確保及びその執行の役割を担う。

CISO は、活動の進捗状況を月次で直属の上司や関連部署に報告し、四半期に一度リスク委員会

（ボードメンバー、CEO、取締役が参加）で報告している。また、必要に応じて、CEO や CISO の

直接の上司にあたる Finance Director への報告を実施している。

経営陣に必要なセキュリティ施策や対策を示す際に、J 社では同業他社や同規模のグローバル

企業とのベンチマークを実施している。また、情報セキュリティ予算を確保する際には、インシ

デント発生可能性やその影響度について、現状の対策による効果と今後導入する施策・対策によ

る効果を比較し、どの程度リスクが低減するかを示している。効果に関しては、費用とリスク削

減効果を金銭的価値で示すことで、ROI のような判断も可能にしている。

J 社の CISO は現在の課題として、人材の確保と従業員教育、CEO の期待値を的確にコントロー

81

るすること、委託先の管理をあげている。人材確保に関しては、高度スキル人材の需要が高まっ

ており、確保が難しい状況にある。現在のところ J 社では、CISO の個人的ネットワークを活用す

ることで人材を確保している。また、従業員教育に関しては、四半期に一度トレーニングを実施

している。特に、J 社はグローバルに事業を展開しており、各国の文化や慣習、セキュリティに対

する感度の違いに対応する必要がある。この課題に対して、心理学の博士号を持つ CISO の知見

を活かし、文化の違いや心理的要因を考慮した教育プログラムの策定を検討している。CEO の期

待値を的確にコントロールする点については、セキュリティ計画をスケジュール通りに確実に実

装するために、CEOの急な要請や過度な期待に対して適切に説明し理解を得ることをあげている。

委託先の管理に関しては、9 名の専任者を任命し委託先のセキュリティ対策状況を評価してい

る。特に機密情報の取扱いが絡む契約や調達時には、調達要件作成時からセキュリティ要件を付

加するとともに、委託先を実際に訪問しセキュリティ対策状況を評価している。

CISO のキャリアパスに関しては、技術系出身、マネジメント系出身の両方がある。ただしいず

れのケースでも、技術ニーズをエンジニアに的確に説明するためには、技術に関する深い知識が

必要である。一方で、経営陣に対してビジネスケースを作成し、必要な承認を得る為には、マネ

ジメント視点が必要であり、技術・マネジメント両方に精通することが CISO に求められる。ただ

し、企業がリスク回避のために CISO 未経験者を雇用しない傾向があるため、キャリアパスの構

築が難しい状況にあるとしている。

c）CSIRTについて

J 社は 2 種類の CSIRT を設置している。一つは、インシデント対応を行うチーム（アメリカ・

イギリス・シンガポールに設置）で、24 時間 365 日対応を目指している。このチームは、人的行

為に焦点を当てたフォレンジックや証拠収集等を担当している。もう一つのチームは、Advance

Threat Defense Team（20 名程度）で、ネットワークや機器レベルの分析を中心に対応し、SOC 機

能や日常的なモニタリングを実施している。情報共有はナショナル CSIRT や ISAC、同業他社と

も適宜実施しており、情報共有を円滑に進めるためには、「信頼」が重要であると指摘している。

J 社の CSIRT を運営する上での課題としては、インシデント件数の急激な増加により、人的リ

ソースが不足しており対応が難しいこと、技術的対策がまだ十分でないことがある。同社は不足

している部分に関しては外部への委託で対応しているが、将来を見据えて社内人材へのスキル移

転も検討している。

J 社では CSIRT を効果的に運用するために、自社で不足している機能については、それが充足

されるまではサードパーティを積極的に活用している。外部のリソースを活用する際は、社内人

材へのスキル移転のプロセスや要件を明解にすること、それを契約上で押さえておくことが重要

であるとしている。

d）サイバー保険について

J 社はサイバー保険に加入していない。未加入理由としては、保険商品がまだ成熟していないこ

とをあげている。具体的には、補償を受けるための基準が明確でないことやリスクに対する適切

な補償額の計算手法が確立されていない等をあげている。

82

e）ロンドンオリンピックから得られた知見について

同社 CISO のロンドンオリンピックにおける経験から、レジリエンスの確保が重要としている。

IT 関連では、強固かつ適切なアクセス制御を実装し、許可された人間のみがアクセスできるよ

うにし、それらをログとして取得・分析することで、インシデント発生を未然に防げる。また、

事業継続計画の作成および演習も必須としている。

K社（欧州、海運）

K 社は運輸・エネルギー事業を展開するグループ会社のうち、海運を主業務とする企業である。

K 社の従業員は 1 万人以上である。

a）組織的対策について

K 社はサイバーリスクを、経営上の 10 大リスクの一つとして位置付けており、ガバナンスボー

ド（CIO、CISO、IT 運用、法務等のメンバで構成）では常にサイバーリスクの報告がなされてい

る。

K 社では CIO の下にセキュリティグループと IT 運用グループを設置しており、全体で人員は

400 名程度、うちセキュリティグループに 20 名程度が所属している。セキュリティグループはリ

スク評価や監査、事業継続計画の検討を担っている。IT 運用グループの中には SOC（24 時間 365

日対応、15 名所属）があり、K 社および他のグループ企業の一部の監視を行っている。

K 社が所属するグループでは、グループ企業各社に CISO が設置されており、グループ本社に

も CISO とセキュリティ組織がある。このグループ本社のセキュリティ組織が、グループ全体の

セキュリティフレームワークを策定している。このセキュリティフレームワークは、

ISO27001:2005 や ISF Standard of Good Practice for Information Security26を参考に作成されており、

四半期に一度各社の準拠状況をチェックする仕組みがある。

K 社が保護すべき情報資産は、K 社のブランドとコアアプリケーション（停止した場合航行が

ストップ）の可用性の維持である。K 社では、現時点で船舶のシステムがハッキングされ乗っ取

られる可能性は低いと考えているが、リスクやインパクト、ハッキングされる可能性等を現在研

究している。

b）CISO について

K 社の CISO はセキュリティグループのトップで、組織のセキュリティプロジェクトの策定・

運営、リスク評価、レガシーシステム（1400 種）のリスク評価・維持、コンプライアンス管理、

IT 及び事業自体の事業継続/災害復旧が主要な責務となっている。レポートラインについては、

CISO は直属の上司である CIO に報告し、CIO は CTO（Chief Transformation Officer）に報告を行っ

ている。

セキュリティグループの予算のほとんどはチームの人件費である。そのため、セキュリティ対

26 ISF が提供する情報セキュリティに関するグッドプラクティスをまとめたもの。ISO/IEC27002:2013 等の標

準よりもカバーする項目が多く、リスク評価やサプライチェーンセキュリティ、コンプライアンス等の 8 分野

118 項目を取り上げている

83

策費用に関しては CISO が必要な対策を提言し、構築・運用を担う IT 運用グループの予算で導入

している。セキュリティグループで対策が必要な場合に関しては、自グループで予算申請・取得

を行うが、金額が少ないため予算取得に関しては大きな問題になっていない。

経営陣に IT 知識や理解の高い人間が多く、セキュリティはビジネス継続上必要不可欠と考えら

れており、必要なセキュリティ対策は実施する方針である。また、セキュリティインシデントの

発生により経営層に説明責任が生じ、それがその後のキャリアにも影響する可能性があることか

ら、セキュリティに対する経営層の意識は高まっている。

新規のセキュリティ投資内容を経営層に説明する際には、経営層にベンチマーキングデータや

モニタリングデータ等を定常的に提供し、重要性を理解してもらうことで、ROI の議論にならな

いように工夫している。また、グループのセキュリティフレームワークに準拠することが義務付

けられていることから、これを達成するための費用に関しては、ROI 等は問われることなく承認

されている。 現在 CISO が抱える課題としては、コアシステムのセキュリティ対策、規制への対応、従業員

教育をあげている。 K 社のコアシステムでは一部古いシステムが利用されており、セキュリティ対策が十分進んで

いない。ビジネスに大きな影響を与えるシステムであるが、新規プロジェクト等への投資が先行

している。 規制への対応に関しては、グループ全体のセキュリティフレームワークの準拠に加え、各国の

法規制への対応がある。順守すべき規制の数が多く、全てに対応することが課題となっている。 従業員教育に関しては、船員のセキュリティ意識の向上が大きな課題となっている。船員が船

のシステムに接続しネットを利用するケースが増えてきており、セキュリティ上の脅威になりつ

つある。船員に対する集合研修の実施や船内でのトレーニングは現実的には不可能なため、ポス

ターでの啓発活動やセキュリティスタッフが船に乗り込んで実施することで対応している。 CISO に求められる資質に関しては、CISO の役割がリスクマネジメントの領域に入りつつある

が、技術の詳細までを熟知している必要がある。未だに IT や技術系の対策が多く、エンジニアと

同レベルで話せる事は対策導入を円滑に進める観点からは必須と考えられる。また、技術的な理

解に加え MBA などを取得しマネジメントの知識も深める必要がある。さらに、業界内での人脈

を保有していることは、情報収集や人材発掘など様々な面で重要になる。

c）CSIRTについて

K 社では専任の CSIRT は設置しておらず、インシデント発生時はセキュリティグループ内の事

業継続チームが担当している。ただし、インシデントがグループの複数社に影響する場合は、グ

ループ本体がインシデントハンドリングを担っている。

日常的なモニタリングは IT 運用チームの SOC で実施されている。SOC で取得したログは、グ

ループ他社の取得ログと共に、グループ本社の Security Monitoring Center に送付され、そこで分析

がおこなわれ、各社 CISO に 1 週間に 1 回ニュースレターとして配布される。

グループ内の情報共有は、四半期に 1 回、グループ各社の CISO によるミーティングと、半年

84

に 1 回、各社チームメンバーも含めた同様のミーティングにより実施している。

CSIRT を効果的に運用するためには、24 時間 365 日対応体制の構築やインテリジェンス収集機

能、経営陣への CSIRT 活動の可視化が必要としている。インテリジェンス収集機能については、

技術的に収集する機能を持つとともに、人的ネットワークによる収集能力も持ち合わせることが

必要としている。また、CSIRT 活動の可視化に関しては、インシデントを適切に管理しているこ

とを定期的に経営陣に報告することで、CSIRT 機能やチームの必要性を認識してもらうことにつ

ながるとしている。

d）サイバー保険について

K 社はサイバー保険に加入していない。未加入の理由としては、プレミアム（加入時に支払う

保険料）や補償額の決定に必要となる評価基準が、業界内で統一されておらず明確になっていな

いことをあげている。

また、同社のビジネスの特性上、顧客データは直接扱っておらず、データが格納された顧客の

商品を運送している。サイバー保険加入時の評価基準の一つに、顧客データのハンドリングがあ

るが、K 社では顧客の商品に含まれる情報までを直接ハンドリングすることはできず、このよう

な事情を保険会社に理解してもらうことが難しいため、加入を見送っている。

L団体（欧州、ユーザ系セキュリティ団体）

L 団体は英国に拠点を置くユーザ系のセキュリティ団体である。航空・運輸や金融、化学、エネ

ルギー等の企業が参加している。

L 団体に関しては、米欧企業の組織的なセキュリティ対策状況全般に関してアナリストにヒア

リングを実施した。

a）経営層の認識について

昨今のセキュリティインシデントでは、単なる IT 部門の責任問題として解決されるのではな

く、経営陣の経営責任として追求されるケースが増えている。その結果、経営陣はこのような事

態を回避するためにもセキュリティ強化を指示するケースが増えている。

また、顧客からセキュリティ対策の強化を強く求められるケースもある。具体的には、顧客で

ある委託元が委託先である自社にセキュリティ状態の把握とセキュリティ強化を求めるものであ

る。

自社が委託先に求めるセキュリティ強化に関しては、契約内容変更でセキュリティ要件を明示

し、要件に沿ったセキュリティ対策の導入を要求したところ、それに掛かる費用も含めて請求さ

れるケースがあった。この時、当該企業の CISO は、リスクベースアプローチ（委託先のセキュリ

ティを強化できない場合の自社への影響を提示。特に規制の厳しい業界では非常に説得しやすい

方法としている）を用いて、委託先のリスクは自社のリスクでもあることを示し、この費用を自

社が負担することに関して経営層の理解を得た。

これらのように、欧州でも以前は経営層の認識は低かったが、外部からの圧力により経営層の

認識が変化してきた事例もあり、日本でも参考になると考えられる。

85

b）CISO の役割と求められる資質について

CISO の組織における位置づけは、CTO/CIO にレポートしている企業もまだ多数存在している

が、金融機関などでは IT 組織から離れて、CRO や CFO の下に置かれるケースも出てきている。

ただし、CISO が経営陣やエグゼクティブコミッテイに入るのは、現時点ではまだ早いとしている。

C スィート 27レベルでの議論や調整は現在の CISO には荷が重く、経営陣の中にいる CISO の代弁

者（CISO のレポートラインの上司）に説明をしてもらうのが現実的な解としている。

また、CISO はセキュリティ対策の提案者であり、実行の責任者ではあるが、最終的にどのレベ

ルのセキュリティ対策をやるべきかを判断し決定するのはビジネスオーナーや経営陣であるべき

である。CISO はセキュリティに対して責任を負っているが、その説明責任は経営陣にある。現状、

インシデント発生時の責任は CISO にあるが、実際にはビジネスを守る責任はビジネスサイド・

経営陣であり明確に分けるべきであるとしている。

最近の CISO の傾向として、以前は IT アナリストやエンジニア等の技術職出身者が多かったが、

弁護士やコンサルタント等のビジネスエリアの出身者が増加している。CISO の役割として、技術

的な部分は専門職に任せ、セキュリティの課題や必要性などを経営陣に「ビジネスの観点から説

明することが求められるケースが増えていること」がこの背景にある。また、CISO が「Trusted

Advisor（信頼できるアドバイザー）」という立ち位置になりつつあることも最近のトレンドであ

る。CEO や COO などの要望に応じて、常にセキュリティの問題をビジネス視点からアドバイス

ができる人材が求められている。10 年ほど前までは、CISO は経営レベルと同等レベルでコミュ

ニケーションできる人間ではなく、IT 部門の一部の機能として捉えられており、CISO 自身も経営

陣とのコミュニケーションを苦手としていた。現在では、経営層のサイバーセキュリティに対す

る意識が高まってきており、コミュニケーション能力は CISO の重要な資質の一つとなっている。

c）セキュリティ投資評価について

セキュリティ対策は、「投資」というよりは「保険」に近い要素のものであり、ROI を示すのは

非常に難しい課題であると指摘している。ROI 以外の方法でセキュリティ対策の必要性を理解し

てもらう必要があるが、その効果を目に見える形で示すことは難しいため、リスクを許容範囲の

中で管理できていること、情報資産を保護できていること、それが顧客に安心感を与えているこ

とに焦点を当てて理解を求めるとよいのではないかとしている。顧客増加や満足度向上などの数

値を示すことが出来ればよいが、そこまでにはまだ至っていないのが現状であると指摘している。

d）CSIRTについて

CSIRT 機能のうち、情報共有に関してはまだ発展途上である。情報共有のためには、インシデ

ントを特定したうえで分析し、その情報を共有するプロセスが必要であるが、その機能が確立さ

れていない組織が多い。特にグローバル企業では、地域毎のオフィスからの情報収集が、規制上

の理由等でできていないケースがある。

27 CEO（Chief Executive Officer：最高経営責任者）や CFO（Chief Financial Officer：最高財務責任者）等、

C○O という肩書のつく企業の経営幹部のこと。

86

e）サイバー保険について

サイバー保険については、米欧でもまだ有効性に関して賛否が分かれている。サイバー保険の

問題点は、プレミアム・補償額決定の評価基準が曖昧であること、基準が業界内で統一されてい

ないこと、担当者の理解が乏しいことがあげられる。根本的な問題としては、サイバーリスクの

評価が正確に提示されないということにあるのではないかと考えられる。

結果の考察

米欧企業のヒアリング結果から得られた知見は次のとおりである。

ポイント 1. 経営層がサイバーリスクを経営上の重大なリスクとして認識

今回ヒアリングを実施した全ての企業が、サイバーリスクを事業リスクや財務リスクと同等の

重大なリスクと捉えている。経営層の間でも、サイバーインシデントがビジネスを継続する上で

大きな影響を与えること、経営陣の評価に直接影響を及ぼすことが理解されている。特に、E 社

や G 社等のように、情報資産が自社の競争力の源泉となっている企業ほど、セキュリティを重要

視している。

セキュリティ投資に関しては、ヒアリング先企業は経営層の理解があり、その多くは ROI 等の

投資評価指標を重要視しておらず、必要な対策は実施する方針で進めている。セキュリティ予算

を獲得するにあたっては、自社が抱えるリスク状況や対策を実施しない場合の影響度、同業他社

や同規模企業とのベンチマーク結果を経営層に提示することで、理解を得たうえで対策を進めて

いる。

ポイント 2. CISO には技術とマネジメントの知識が求められる

今回ヒアリングに協力いただいた CISO 等は全員、自社のサイバーセキュリティに責任を持っ

ていた。主な責務としては、サイバーセキュリティプログラムやポリシーの策定、経営陣への定

期的な報告と理解の促進、予算の獲得がある。

今回ヒアリングした CISO は何れも経営層には入っておらず、CTO や CFO 等の下に位置づけら

れるケースが多い。G 社のように CEO の直下におかれ、必要に応じて CEO に直接報告できるケ

ースもある。

CISO のキャリアパスについては、技術出身がよいかマネジメント出身がよいかで意見が分かれ

た。技術出身がよいとの意見では、技術の詳細を理解していないと適切な対策の策定や管理、技

術者のマネジメントができないとの指摘があった。一方、マネジメント出身がよいとする意見で

は、サイバーリスクの重要性が高まる中で、経営の観点から経営陣やステークホルダーに説明す

る能力が必要であるとの指摘があった。意見が分かれたものの、CISO には技術とマネジメント両

方のスキルが求められる点では共通していた。

ポイント 3. 従業員教育とセキュリティ人材確保が課題

87

CISO がセキュリティ対策を進める上での課題としては、従業員教育と人材の確保が多くあげら

れた。

従業員教育に関しては、標的型攻撃等の新たな脅威が増えている中で、従業員に対してセキュ

リティ対策の重要性と脅威を理解させることに苦慮しているケースが多い。今回ヒアリングした

企業では、定期的なオンラインでの教育や標的型攻撃メールの対策訓練等を実施している。H 社

や K 社のように契約社員や委託先の従業員がいるケースでは、セキュリティ教育を浸透させるの

がより一層困難となっており、グローバル展開している企業では、文化や言語の違いへの対応が

求められるケースもあった。

人材確保に関しては、優秀なセキュリティ人材の確保は争奪戦になっており、必要な人材の確

保が困難になっているとのことであった。本アンケート調査結果では、米欧はセキュリティ人材

が日本に比べ充足しているとの回答が多かったが、ヒアリングでは米欧でも人材は不足している

現状が明らかになった。J 社では CISO の人的ネットワークを活用した採用を行っているが、今後

は適切な評価と魅力的なインセンティブを提供することが、人材を確保する上で必要不可欠にな

るとのことであった。

ポイント 4. CSIRTの効果的な運営にはインシデント対応手順の文書化が重要

今回ヒアリングした企業では、専任の CSIRT を設置している企業は 4 社あった。CSIRT を設置

しない企業では、外部リソースを活用しているケースやインシデント発生時に関係部署の必要な

メンバが集まるところがあった。また、専任の CSIRT を設置しているか否かに関わらず、インシ

デント発生時は関係各部署から必要な人材を確保しインシデント対応にあたっている。

CSIRT の日常業務としては、ネットワークやエンドポイントのモニタリング、情報収集、演習

の実施等があげられた。特に E 社のようにインシデントの発生を未然に防ぐことを目的に、受動

的な対策から能動的な対策に移行するような取り組みもみられた。

CSIRT を効果的に運用していくためには、必要な人材の確保や定期的な演習実施による経験値

の蓄積、インシデント対応プロセスや過去のインシデント対応の文書化があげられた。また、設

置当初からすべての機能を社内で完結しない場合は、必要に応じて外部リソースを活用すること

も視野に入れたほうがよいとのことであった。ただし、その場合も CSIRT の専門家を最低一人置

いたほうがよいとの指摘があった。

ポイント 5. サイバー保険の商品としての成熟度を高めることが必要

今回ヒアリングを実施した企業でサイバー保険に加入していたのは 3 社、未加入は 4 社であっ

た。

サイバー保険に加入している理由としては、インシデント発生時の調査費用等が補償されるこ

とをあげている。補償される額は必要最低限のものであり、インシデント発生による売上機会の

減少やブランドイメージの低下による短期・長期の損失まではカバーされていない。

未加入理由としては、プレミアムが高いことや保険料が決まる基準が不明確であること、リス

ク評価手法が確立されていない等、サイバー保険自体が商品としてまだ未成熟であることがあげ

88

られている。

現状サイバー保険に対する評価は分かれているが、リスク移転の方策としてサイバー保険が有

効活用されるためには、評価手法等の確立や、契約者にとって納得感のある保険料水準で加入で

きるような商品設計等、さらに商品としての成熟度を高めていく必要があると考えられる。

89

5.まとめ

本調査から得られた知見に基づき、考察をまとめる。

効果的な CISO等の設置に向けて

アンケート結果から、経営層として CISO 等を任命することで、経営層の情報セキュリティへ

の関与、投資評価、リスク分析、CSIRT 設置、情報開示等の取り組みにプラスの効果が得られる

ことが明らかとなった。逆に、CISO 等が任命されていない企業では、経営層が自社の情報セキュ

リティに対しあまり関与していない傾向もみられる。これは、情報セキュリティの取り組みに責

任を担う CISO 等の存在が、情報セキュリティ対策の推進力となることを示している。

もちろん、CISO 等さえ設置すれば、すべての問題が解決するわけではない。そこで、効果的な

CISO の設置に向けて、考慮すべき事項を以下に示す。

① ポジション

CISO 等には、情報セキュリティについて経営層と現場をつなぐ通訳の役割が期待される。

経営層への説明機会を考慮すれば、CISO 等は経営層もしくは経営層に直接説明する立場に

あることが望まれる。アンケート結果で、CISO 等の置かれたポジションが高いほどより高

い効果が得られたのは、ポジションが社内における影響力に直結するためと考えられる。

逆に、CISO 等のポジションが企業全体をカバーできる立場にない場合、企業全体のセキ

ュリティリスクに責任を負うのは難しい。たとえば、新規の事業計画を知る立場でないとし

たら、その計画が内包するセキュリティリスクについて言及し、対策を指示することは困難

である。

ただし、CISO 等のポジションが高いと、CISO 等と現場のセキュリティ責任者・担当者の

間で認識にギャップが生じる懸念があるため、留意する必要がある。

② スキル

CISO 等には、技術とマネジメント両方のスキルが求められる。前者は現場の状況や対策

の必要性について理解するためであり、後者は経営層やステークホルダーに対してセキュ

リティリスクの状況や課題を説明するためである。しかし、両方のスキルを有する人材がい

ない場合、ISF の意見では、経営層にビジネスの観点から説明できる能力を重視し、技術的

な要素については専門スタッフがカバーするケースが増えているとされる。

また、CISO 等には、ビジネスとセキュリティについて、会社全体としてバランスをとり

総合的に判断する能力が求められる。

③ 経営層の支援

経営層が情報セキュリティを経営課題として捉えることが重要である。特に、CISO 等が

経営層のレベルではない場合、CISO 等からの提言を経営層が受け止めることができなけれ

ば、CISO 等は有効に機能できない可能性がある。たとえば、経営層が情報セキュリティに

関する報告を受け、意思決定を行う会議体が存在し、そこに CISO 等が主体的に関与する体

制が重要になると考えられる。

90

CISO等の人材の確保・育成に向けて

推進力のある CISO 等の存在が、その企業におけるセキュリティの取り組みに大きな影響を与

えていることから、CISO 等の人選は非常に重要である。しかし、CISO 等に適した人材がいない

場合には、社外から調達するか、候補者を社内で見出して育成するかの２択となる。

米欧企業においては、社内で育成するのではなく、「プロ」の CISO を社外から調達するケース

も見られる。プロ CISO は、所属先の企業において、自身の有する知見・ノウハウを駆使して情報

セキュリティの取り組みを推進し、ある程度改善した段階で新天地に転籍していく。つまり、プ

ロ CISO が企業を渡り歩くことで、重要な知見・ノウハウが普及する効果が期待できる。一方、国

内の場合、将来的には同様な形態になっていく可能性はあるが、今のところはそのような状況に

なく、優れた CISO 人材が限られている以上、外部調達は容易ではない。

したがって、日本企業の多くは、候補者を社内で選出し、育成する必要がある。ただし、CISO

等の育成方法は確立・共有されておらず、各社とも手探りの状況にあるのが実態と推測される。

これは共通の課題であることから、個社の努力に依存するのではなく、個社同士が多様なレベル

で連携し、有用な方法論や課題解決のアプローチ等の共有を図ることが望まれる。たとえば、ISF

のような情報セキュリティに関する企業横断のコミュニティ活動を通じて、CISO 等の候補者がベ

ストプラクティスを学び、知見・ノウハウを共有する方向が考えられる。

望ましい CSIRT整備に向けて

企業は、事業の特性、守るべき資産、拠点、人的資源等の条件が多様であることから、CSIRT の

在り方も百社百様である。CSIRT 整備において考慮すべきポイントを以下に示す。

① 機能設計

CSIRT は、すべての機能を社内で完結させるのではなく、アウトソースを活用することも

選択肢に含めて設計するほうが合理的である。

たとえば、CSIRT の責任者は、インシデント発生時に社内外の調整や説明を行う必要があ

ることから、社内の人間であることが望ましい。また、ログ解析やフォレンジック分析がで

きる技術者については、アウトソースを活用することも可能である。このように、CSIRT の

機能設計では、内部と外部のリソースの効果的な使い分けを考慮することが重要である。

② 体制

今回の調査結果から、CSIRT を整備する上で、能力・スキルのある人材を確保し、知見・

ノウハウを蓄積することが重要であることが明らかとなったが、その解決は容易ではない。

また、CSIRT の機能を実装するためには、情報システム、経営企画・リスク管理、広報・

渉外、法務等の各部門と連携することが重要であり、そうした連携体制をどのように形成す

るか検討する必要がある。たとえば、関係部署に CSIRT の兼任者を設置する方法がある。

③ 対象範囲

アンケート結果から、日米欧とも、国内拠点についてはセキュリティ対策状況を把握して

いるが、海外拠点については十分に把握できておらず、コントロールが難しいことが明らか

91

になった。したがって、CSIRT が国内外の地域拠点やグループ企業をカバーする場合、国内

外の地域拠点やグループ企業のインシデント対応の仕組みや、本社 CSIRT との役割分担に

ついて検討する必要がある。

CSIRT の効果的な運用に向けて

CSIRT を効果的に運用していくためには、インシデント対応プロセスや過去のインシデント対

応について文書化し、知見・ノウハウの共有化を図ることが重要である。これは、担当者のレベ

ル向上に寄与するだけでなく、担当者の交代により知見・ノウハウが消失することを防ぐ意味で

もある。

セキュリティの投資評価の在り方

アンケート調査から、情報セキュリティの投資評価（定量的または定性的）の実施は、米欧が

日本より進んでいることが明らかになった。

一方、ヒアリング調査から、米欧企業ではセキュリティ予算を獲得するにあたり、自社が抱え

るリスク状況や対策を実施しない場合の影響度、同業他社や同規模企業とのベンチマーク結果を

提示することで経営層の理解を得ており、必ずしも ROI 等の投資評価指標を重要視していないと

の見解を得た。

セキュリティの予算確保のために、ROI 等の導出が必ずしも必須ではない点を理解すべきであ

る。

情報セキュリティに関する開示の在り方

情報セキュリティに関する開示については、推進と否定の両論が存在する。

国内では、政府が経営者に対して平時からステークホルダーに向けたセキュリティ対策に関す

る情報開示を推奨しており、国内ヒアリング調査でも、各社が様々な手段で情報開示に取り組ん

でいることが明らかになった。一方、米欧では、米証券取引委員会が投資家保護の観点から上場

企業にセキュリティリスク情報について開示するよう求めているが、米欧調査では開示に伴うデ

メリット（攻撃者を利する可能性等）を考慮し、開示に消極的である傾向が伺えた。

国際標準 ISO/IEC 27014:2013（JIS Q 27014:2015）では、情報セキュリティガバナンスモデルを

構成するプロセスの一つとして、「経営陣及び利害関係者が，双方の特定のニーズに沿った情報セ

キュリティに関する情報を交換する双方向のガバナンスプロセス」である「コミュニケーション」

が設定されており（図 2.1-3 参照）、情報セキュリティに関する経営陣から利害関係者への開示が

重視されていることがうかがえる。

情報セキュリティに関する開示の是非は経営判断すべき事項の一つであるが、投資家に対する

説明責任の観点から、なんらかの適切な情報開示が求められると考えられる。したがって、デメ

リットも考慮しながら、リスクを極力抑え込んだ、適切な情報開示の在り方を探ることが望まし

い。

サプライチェーンのセキュリティ確保に向けて

委託先の情報セキュリティ対策を適切に管理することは、自社のセキュリティを確保する上で

92

重要な意味を持つ。これは、「サイバーセキュリティ経営ガイドライン」においても指摘されてい

る通り、委託先のリスクが自社のリスクに直結するためである。国内外のヒアリング調査におい

ても、チェックリストによる管理、契約におけるセキュリティ要件の明記、事前監査・事後監査、

第三者による委託先のリスク評価等の手法を用いて、委託先のセキュリティ状況の把握と向上に

取り組む事例が複数挙がっている。

こうした委託元からの要請が一般化することで、委託先企業のセキュリティレベルも徐々に向

上していくことが期待される。その一方、再委託先や海外の委託先など、統制がより困難な対象

のセキュリティ対策をどのように管理すべきか、さらなる試行錯誤が必要と考えられる。

以上