約9割の企業で情報セキュリティ人材の不足が明らかに：製造ITニュース

　NRIセキュアテクノロジーズは2017年3月28日、東証一部・二部上場企業を中心とする国内企業の情報システム・情報セキュリティ担当者を対象とした「第15回情報セキュリティに関するアンケート」を行い、調査結果を集計・分析した報告書「企業における情報セキュリティ実態調査 2017」をまとめたと発表した。

　同報告書によると、セキュリティ人材・経営に関しては、情報セキュリティに関する役割に従事する人材が「不足している」「どちらかといえば不足している」と考える企業が89.5％に及んだ。2015年まで3年連続で8割を超えていたが、さらに増加したことになる。報告書では、昨今のセキュリティ脅威の深刻化で対策業務の量が増加し、仕事の質の向上も求められるようになったことから、人材不足を感じる企業が増えたと推察している。

　また、情報セキュリティ対策を経営の視点で戦略的に考える最高情報セキュリティ責任者（CISO）は52.5％の企業が未設置で、2015年（53.4％）同様半数を超えた。組織を横断した戦略策定や、有事の際に迅速な対応を行う体制などに懸念があるとしている。

　セキュリティ施策に関しては、「過去1年間で発生した事件・事故」として「電子メール、FAX、郵便物などの誤送信・誤配送」が2015年同様に1位（35.6％）となった。次いで、「標的型メール攻撃」（34.1％）が2位、今回の調査から選択肢に追加された「ランサムウェアによる金銭などの要求」が32.5％で3位に入り、より高度なサイバー攻撃が上位に浮上した。

　情報セキュリティの対策では、多くの企業がサイバー攻撃に対して基本的な対策を実施しているものの、「高度な攻撃」への対策は遅れている企業が多い。例えば「なりすましメールへの対策」として「受信メールのウイルスチェック」は88.8％の企業が実施しているが、「受信メールの添付ファイル拡張子規制」は34.9％にとどまっている。「インターネットからアクセス可能なサーバのサイバー攻撃対策」では、95.8％が「ファイアウォールの導入」を行っているが、「Webアプリケーションファイアウォールの導入」は22.7％で、ゼロデイ攻撃への緩和策として導入が重要だと指摘している。

　IoT（モノのインターネット）に関しては、IoTを「導入済み・利用している」または「検討中・関心がある」企業は52.3％だが、これら企業のうち45％が「IoTのビジネス活用検討は行っていない」と回答。IoTの課題として、「サイバー攻撃リスクの増大」（41.9％）など、セキュリティに関する項目が挙げられており、まず自社のビジネスに即したIoTセキュリティの基準を作ることが第一歩だとしている。

　同社の情報セキュリティに関するアンケート調査は2002年度から毎年実施しており、今回で15回目。今回のアンケートは、東証一部・二部上場企業など合計3000社に在籍する情報システム・情報セキュリティ担当者を対象に2016年9月5日〜10月14日に実施され、回答企業数は671社だった。

情報セキュリティ人材は9割近くの企業で不足

CISOが未設置である企業が半数以上存在

高度化したサイバー攻撃が上位に浮上