旧情報通信委員会の「サイバーセキュリティに関する懇談会」を引き継ぐかたちで発足した経団連のサイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(梶浦敏範主査)は6月25日、東京・大手町の経団連会館で会合を開催し、日本情報システム・ユーザー協会の宮下清参与から、企業におけるサイバーセキュリティの体制や人材育成に関する調査の成果について説明を聞いた。概要は次のとおり。
■ 調査の概要とセキュリティ体制の類型化
同調査は、経済産業省の平成30年度委託事業として実施した。調査にあたり、72社にアンケートを、31社にヒアリングを行った。回答結果から、各企業のセキュリティ体制を形態(専門組織型/委員会型)および機能分担(集権型/連邦型)で類型化した。しかし、あるべきセキュリティ組織体制の姿に正解はなく、これらのパターンを参考に、自社が置かれているビジネス環境やリスク、ビジネス形態等を踏まえて、最適な体制を検討・選択することが重要である。
■ セキュリティ成熟度の分析結果
各企業のサイバーセキュリティ対策の成熟度を低中高の3段階に分けて評価し、成熟度別の傾向について分析した。「低」と「中」の企業で大きく差があった項目は、セキュリティ対策のための体制や仕組みの整備が済んでいるかどうかであり、「中」と「高」ではインシデント発生後の復旧計画の仕組みの運用ができているかどうかであった。また、成熟度とセキュリティガバナンスの関係では、成熟度が上がるにつれ、セキュリティ担当組織の権限が確保され、ガバナンスの課題感が減少するようになる。すると、その次のステップとして人材の確保・育成が課題となることがわかった。
■ 調査によって明らかになった課題と今後の取り組み
自社の成熟度を高めるには、まず成熟度を見える化し、各段階の傾向を踏まえた適切な施策を講じることが重要である。
また、経営層の理解なくしてサイバーセキュリティ対策を推進することは難しいため、経営層の理解を促し、説得できる人材が重要となる。この役割を担うセキュリティマネジメント人材をいかに確保し、育成するかが今後の最大の課題となる。
同調査によってセキュリティ体制の類型概念や、成熟度ごとの傾向等は整理できた。今後は、体制整備や人材育成における施策や事例を整理していく予定である。
【産業技術本部】