PR

セキュリティ人材「充足」の割合が増加

 ここからはセキュリティ人材や社内の組織体制について見ていこう。2017年度調査では、2年前の2015年度調査と比べて情報セキュリティの必要な人材が「充足している」と回答した割合が増加している。

情報セキュリティ人材の充足状況
情報セキュリティ人材の充足状況
[画像のクリックで拡大表示]

 例えば「セキュリティ対策の立案者」について、2017年度は20.9%の企業が「充足している」と答えた。2015年度は11.5%だったため、9.4ポイント増加している。「セキュリティインシデントの対応者」は21.0%(2015年度は12.3%)、「経営層との橋渡し役」は38.5%(2015年度は30.0%)で、それぞれ8.7ポイント、8.5ポイント増加した。

 このように全てのセキュリティ人材の種別で充足率が向上した。各企業においてセキュリティ向上のための人材確保が進んでいる状況がうかがえる。

 しかしながら、割合としては情報セキュリティ人材が「不足している」との回答が依然として多く、全ての人材種別で過半数を超えている。情報セキュリティ人材は増えてはいるものの、不足が解消されたとはいえない状況にある。

 不足している人材をいかに拡充するか。その拡充目途についても質問した。その結果、多くの企業で目途が立っていない現状が分かった。

不足している情報セキュリティ人材の拡充目途
不足している情報セキュリティ人材の拡充目途
[画像のクリックで拡大表示]

 例えば「経営層との橋渡し役」の拡充について「目途が立っている」と回答した企業は2015年度は20.3%だったが、2017年度は8.2%と12.1ポイント減少した。「セキュリティ対策の立案者」「セキュリティインシデントの対応者」も、「目途が立っている」の割合は2015年度に比べて減少している。

 この2年間で各企業における情報セキュリティ人材の強化は進んだものの、国内全体における情報セキュリティ人材の不足は解消されていない。各企業において、今後の情報セキュリティ人材の確保が困難になっている状況であると推測される。

CSIRT構築への取り組みは停滞

 組織面での取り組みはどうだろうか。以下は情報セキュリティに関して具体的な対応部門を回答してもらった結果である。2017年度調査では「IT部門」とする割合が85.8%と最も高く、「リスク管理部門」の25.2%がそれに続いている。この傾向は2016年度と同じである。

情報セキュリティの対応部門(複数回答)
情報セキュリティの対応部門(複数回答)
[画像のクリックで拡大表示]

 注目は「CSIRT部門」である。2016年度調査では、「CSIRT部門」と回答した企業が2015年度調査の4.1%に比べて6.2ポイント増加して10.3%となった。だが2017年度調査では、ほぼ横ばいの9.6%にとどまっている。企業におけるCSIRTの構築は2016年度に進んだものの、2017年度になって停滞している状況が見て取れる。情報処理推進機構(IPA)が2017年4月に公表した「企業のCISOやCSIRTに関する実態調査2017」においても、この1年でCSIRTの設置状況に変化がないと指摘されている。

調査概要
調査期間:2017年9月25日から10月17日/調査対象:東証一部上場企業とそれに準じる企業、計4000社。各社のIT部門長に調査票を郵送し、Web もしくは郵送で回答を得た。調査の有効回答社数は 1078 社(設問によって異なる)/内訳:建築・土木7.8%、素材製造20.0%、機械器具製造24.7%、商社・流通16.2%、金融5.5%、社会インフラ8.6%、サービス17.2%