情報セキュリティ事故が相次ぐ中、企業は専門人材を含めた情報セキュリティ体制をどう確立しようとしているのか。ガートナー ジャパンの調査によれば、「企業の3割が過去2年間にセキュリティ専門人材を採用」「CISO(最高情報セキュリティ責任者)の設置率は2割近くに上る」といったことが明らかになった。
日本年金機構など公的機関の被害を持ち出すまでもなく、情報セキュリティへの取り組みは、どんな企業にとっても“焦眉の急”。守りを疎かにしたままに攻めに出ることは無謀なので当然だ。しかも何らかのツールを導入すれば、それで済む話ではない。侵入防止や、侵入検知、インシデンスレスポンスといった策を効果的に遂行するには、やはり専門人材が必要になる。
実際のところはどうか? ガートナー ジャパンが2015年3月に実施した調査(有効回答数は515件)によれば、過去2年間に情報システム部門で情報セキュリティの専門職を「採用した」とする回答は29.1%(図1)。情報セキュリティ専門人材の不足が叫ばれ、採りたくても採れないとの声が少なくない中で、30%近い企業が採用に成功しているのは驚きだ。
図1:情報セキュリティ専門職の採用状況拡大画像表示
一方で「採用計画がない」との回答が約半数の48.9%あった。81.3%の企業は「情報セキュリティを兼務で担当する人材がいる」と回答し、「兼務で担当する人材が4人以上いる」と回答した企業も多かったという(何%かは明らかにしていない)。つまり現有人材で充足していると考える企業も相当数あると考えられる。
となると問題は量よりむしろ質。同調査は、自社の情報セキュリティ人材がどのような肩書きや資格を保有しているかを聞いている。「肩書きはない(兼務など)」が最も多く(43.1%)、これに「情報セキュリティ委員長」(36.6%)、「プライバシーマーク委員長」(19.7%)が続く結果になった(図2)。これらが肩書きと言えるのか、アドホックな役割ではないかという気もする。
図2:情報セキュリティ人材の肩書き拡大画像表示
それはさておき、CISO(最高情報セキュリティ責任者)が18.9%いる点は、要注目だろう。というのも経済産業省がまとめた『情報処理実態調査』によれば、CIOの設置率でさえ30%程度に留まっているからだ(関連記事)。
もちろん数字が想定より高いからといって喜べる状況ではない。ガートナー ジャパンの石橋正彦氏は「CISOの最も重要な役割の1つが『取締役会で情報セキュリティ予算を獲得する』ことだ」と指摘する。予算獲得のためにはセキュリティ戦略の立案や実施計画、インシデントレスポンス対策などが含まれ、これらを責任を持って推進するのがCISOという意味だ。
この点はCIOもまったく同様であり、ある意味でCISOとCIOはデジタルビジネス時代におけるITの“守りと攻め”の推進者である。その設置比率がこんなに少ないのは、もっと問題視されるべきだろう。
なお、ガートナー ジャパンは、2015年7月13〜15日に「ガートナー セキュリティ & リスク・マネジメント サミット 2015」を開催する。本調査は、同サミットの予備調査として実施された。
