セキュリティ教育・組織体制に関する実態調査2014 従業員1,000名以上の法人の4分の1がCSIRT/SOCを設立予定

~「社内ノウハウの不足」が実践的な体制強化の足かせに~

2014年9月1日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン、東証一部:4704、以下、トレンドマイクロ)は、2014年6月に、企業および官公庁自治体でITセキュリティに関与する1,234名を対象に、「セキュリティ教育・組織体制に関する実態調査」を実施しました。結果概要は以下の通りです。
※ 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

1. 中堅規模以上の組織を中心に、インシデント対応が可能な体制づくりが進む
今回の調査では、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかりました(グラフ1)。
一方で、従業員1,000名以上の組織においては、12.8%がCSIRT・SOCのいずれかをすでに設立しており、約4分の1にあたる25.3%が今後設立予定としています(グラフ1)。昨今のサイバー攻撃の被害を鑑み、中堅規模以上の組織を中心に、万が一のインシデント発生時も対応できる体制づくりを進めていることがわかりました。
 

2. 攻撃を想定した実践的な取り組み実施はわずか。実施を阻む課題は「ノウハウ不足」
一般社員のセキュリティ意識向上を目的とした取り組みの実施状況について聞いたところ、セキュリティに関する注意喚起は全体の69.8%が「実施している」と回答しました。一方、社員向けのセキュリティ教育を実施しているとした回答者は全体の51.1%、サイバー攻撃を想定したなりすましメール訓練の演習を実施しているとした回答者は全体のわずか8.7%に留まりました。さらに、社員教育については全体の3割以上、なりすましメール訓練によるサイバー攻撃演習については全体の約7割の回答者が今後も「実施予定なし」と回答しました(グラフ2)。
社員向けの各種セキュリティ教育や演習の実施予定がない理由としては、「社内のノウハウ不足」が最も多く挙げられました。一般的なセキュリティ意識改善に対する取り組みは一定数の組織で実施されているものの、より高いセキュリティ知識やノウハウが求められる教育や実践的な取り組みは浸透していないことがわかりました。

また、組織内でセキュリティを担当するセキュリティ人材のスキル向上の取り組みでは、社内で講習会を実施しているのは全体の38.7%、社外の講習会に参加しているのは26.6%という結果になりました。セキュリティ人材に対しても、サイバー攻撃を前提とした演習を実施している企業は10.0%のみで、「実施予定なし」とした回答者は全体の約7割にのぼります(グラフ3)。
演習の実施予定のない企業に対し理由を尋ねたところ、やはり「社内のノウハウ不足」を挙げる回答者が最も多い結果になりました。また、社内の人員から講師を立てて行う講習についても、実施予定のない理由としてノウハウ不足を挙げる回答者が最も多く、セキュリティに関する知見や取り組み方に関する知識の不足が、セキュリティに関する体制を強化するうえでの足かせとなっていることが浮き彫りになりました。


昨今発生しているサイバー攻撃や情報漏えいといったセキュリティ事故の防止策として、社員のリテラシー向上やセキュリティ人材の育成はこれまで以上に求められています。また事故発生時には、インシデント対応を行う組織やフローの整備は、極めて重要です。社外のセキュリティの専門家の知見も活用しながら、組織で使用しているITシステムが攻撃を受けた際の経営環境への悪影響を考慮し、経営上の問題としてその必要性を検討するべきと言えるでしょう。
トレンドマイクロでは、CSIRT/SOCの設立を支援する「CSIRT/SOC構築支援サービス」の提供や、従業員のリテラシー向上を支援する各種サポートサービス、コンテンツの提供など、お客さま環境でのインシデント未然防止、事故発生時のお客さまの円滑な対応のため支援を継続して行って参ります。


■調査の概要
調査名: セキュリティ教育・組織体制に関する実態調査 2014
実施時期: 2014年6月26日~2014年6月30日
回答者: 組織における情報セキュリティ対策に関する意思決定者、および意思決定に寄与する立場の方 計1,234名
手法: インターネット調査

■グラフ1: 従業員規模別 CSIRT/SOC設立の現状と今後

■グラフ2:一般社員向け各種取り組みの実施状況と予定(n=1,234)

■グラフ3:セキュリティ人材向け各種取り組みの実施状況と予定(n=1,234)

※ TREND MICROは、トレンドマイクロ株式会社の登録商標です。その他記載の会社名、製品名およびサービス名は、それぞれの会社の商標もしくは登録商標です。