2017年4月13日

企業の CISO や CSIRTに関する

実態調査 2017

－調査報告書－

目 次

1. はじめに .................................................................................................................................................... 1

1.1. 調査背景・目的 ................................................................................................................................. 1

1.2. 調査の実施概要 ................................................................................................................................. 1

2. 文献調査 .................................................................................................................................................... 2

2.1. 「サイバーセキュリティ経営ガイドライン」3 原則 .................................................................. 2

経営者によるサイバーセキュリティリスクの認識、対策のリーダーシップの必要性... 3

系列・サプライチェーンを含めたセキュリティ対策 .......................................................... 5

平時・緊急時における関係者とのコミュニケーション ...................................................... 7

2.2. 企業の CISO に求められる要件 ...................................................................................................... 9

CISO 等の役割、スキル・経験に関する情報 ....................................................................... 11

本調査において確認する CISO に求められる役割・スキル・経験 ................................. 18

2.3. 文献調査を踏まえた調査のポイント ........................................................................................... 19

3. アンケート調査及び分析 ...................................................................................................................... 20

3.1. 調査の概要 ....................................................................................................................................... 20

3.2. 調査結果 ........................................................................................................................................... 22

経営層の関与 ............................................................................................................................ 22

自社拠点・サプライチェーンのセキュリティ対策 ............................................................ 26

平時・緊急時の情報開示 ........................................................................................................ 29

CISO 等の役割 ........................................................................................................................... 33

CISO 等に求めるスキル・経験 ............................................................................................... 37

セキュリティ投資評価 ............................................................................................................ 38

被害額推定・リスク分析 ........................................................................................................ 40

情報セキュリティの体制 ........................................................................................................ 42

情報セキュリティ対策の課題 ................................................................................................ 51

重要インフラ業種の対策状況 .............................................................................................. 52

継続調査項目 .......................................................................................................................... 54

3.3. アンケート結果のまとめ ............................................................................................................... 59

4. 考察 .......................................................................................................................................................... 63

5. データ集 .................................................................................................................................................. 66

5.1. 属性情報 ........................................................................................................................................... 66

5.2. IT・セキュリティ投資 .................................................................................................................... 68

5.3. 経営層の認識 ................................................................................................................................... 70

5.4. 自社拠点・委託先のセキュリティ対策 ....................................................................................... 72

5.5. 平時及び緊急時の情報開示 ........................................................................................................... 77

5.6. CISO 等の設置状況・位置づけ ...................................................................................................... 79

5.7. CISO 等に求められる役割・スキル .............................................................................................. 82

5.8. 被害推定 ........................................................................................................................................... 86

5.9. リスク分析 ....................................................................................................................................... 87

5.10. 情報セキュリティ対応体制 ......................................................................................................... 89

5.11. セキュリティ製品・組織的対策 ................................................................................................. 91

5.12. CSIRT ............................................................................................................................................... 93

5.13. ウイルス感染・サイバー攻撃・内部者による不正の被害状況 ............................................. 96

5.14. セキュリティ対策を推進する上での課題 ............................................................................... 101

5.15. ガイドライン・標準の参照状況 ............................................................................................... 102

5.16. 制御システムの被害状況 ........................................................................................................... 103

1

1.はじめに

1.1. 調査背景・目的

近年、企業活動における IT の積極活用は、企業の成長や事業の発展、グローバル化に対応した

経営変革のために必須であるとされている。

一方で、IT 活用を進めるほど情報セキュリティ上のリスクは高まり、セキュリティインシデン

トが企業活動に与えるインパクトは増大する。事実、企業の事業継続に影響を与えるセキュリテ

ィインシデントが後を絶たない。

IT を積極活用した経営の攻めと情報セキュリティの守りとを高いレベルで両立するには、経営

層が情報セキュリティを経営戦略として捉え、主体的に取り組むことが肝要であるとの指摘がな

されている。

このような背景を踏まえ、企業経営者の情報セキュリティに対する認識や姿勢と、情報セキュ

リティ対策の取り組み状況を明らかにするとともに、日本企業と海外諸国（米国及び欧州。以下、

同じ。）の企業との状況を比較し、そのデータを広く公開することで、日本企業の情報セキュリテ

ィに対する取り組みのレベル向上に資することを目的とし、「企業の CISO や CSIRT に関する実態

調査 2017」を実施した。

1.2.調査の実施概要

本調査では、日本及び海外諸国の企業経営者の情報セキュリティに対する認識や関与の状況、

情報セキュリティ対策の実施状況等を把握し、より有効な取り組みなどを明らかにするため、以

下に示す 2 段階の調査を行い、その結果を本報告書に取りまとめた。

1. 文献調査（2 章）： 国内外の公開レポート等に対する調査

2. アンケート調査（3 章）： アンケート調査（日米欧の企業向けアンケート調査）

2

2.文献調査

文献調査においては、以下の観点を取り上げた国内外の公開レポート等の情報を収集・調査し、

最新の動向及び政府等の取り組みを整理した。また、調査結果は 3 章以降のアンケート調査項目

検討の参考とした。

「サイバーセキュリティ経営ガイドライン」3 原則

(1) 経営者によるサイバーセキュリティリスクの認識、対策のリーダーシップの必要性

(2) 系列・サプライチェーンを含めたセキュリティ対策

(3) 平時・緊急時における関係者とのコミュニケーション

企業の CISO に求められる要件

2.1.「サイバーセキュリティ経営ガイドライン」3原則

2015 年 12 月に経済産業省と独立行政法人情報処理推進機構（以下、IPA）が共同で策定・公表

した「サイバーセキュリティ経営ガイドライン」（2016 年 12 月に改訂され現在は Ver 1.1）1におい

ては、経営者はサイバーリスクに対応するため、表 2.1-1 に示す 3 原則を認識する必要があるとし

ている。また、3 原則も含め、同ガイドラインの中で特に重要となる対策や考え方については、

2016 年 12 月に新たに公開された「サイバーセキュリティ経営ガイドライン解説書」2において具

体的に解説されている。本調査においては、サイバーセキュリティ経営ガイドラインの 3 原則を

踏まえ実施した前回調査3の結果、類似の調査レポート等の内容を確認し、本調査の設問の参考と

した。

表 2.1-1「サイバーセキュリティ経営ガイドライン」3原則

(1)

経営者によるサイバーセキュ

リティリスクの認識、対策のリ

ーダーシップの必要性

ビジネス展開や企業内の生産性の向上のために IT サービス等の提供

や IT を利活用する機会は増加傾向にあり、サイバー攻撃が避けられな

いリスクとなっている現状において、経営戦略としてのセキュリティ

投資は必要不可欠かつ経営者としての責務である。このため、サイバ

ー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこま

でやるのか、経営者がリーダーシップをとって対策を推進しなければ、

企業に影響を与えるリスクが見過ごされてしまう。

(2) 系列・サプライチェーンを含め

たセキュリティ対策

子会社で発生した問題はもちろんのこと、自社から生産の委託先など

の外部に提供した情報がサイバー攻撃により流出してしまうことも大

きなリスク要因となる。このため、自社のみならず、系列企業やサプラ

イチェーンのビジネスパートナー等を含めたセキュリティ対策が必要

である。

(3) 平時・緊急時における関係者と

のコミュニケーション

ステークホルダー（顧客や株主等）の信頼感を高めるとともに、サイバ

ー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ

対策に関する情報開示など、関係者との適切なコミュニケーションが

必要である。

出所）「サイバーセキュリティ経営ガイドライン Ver 1.1」

1 経済産業省／情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver 1.1」(2016 年 12 月)

http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf 2 情報処理推進機構「サイバーセキュリティ経営ガイドライン解説書」(2016 年 12 月)

https://www.ipa.go.jp/files/000056148.pdf 3 情報処理推進機構「企業の CISO や CSIRT に関する実態調査 2016 -調査報告書-」（2016 年 5 月）

https://www.ipa.go.jp/files/000052362.pdf

3

経営者によるサイバーセキュリティリスクの認識、対策のリーダーシップの必要性

サイバーセキュリティ経営の原則の 1 つ目として挙げられているのが、経営者がサイバーセキ

ュリティリスクを認識し、経営者のリーダーシップによって対策を進めることである。経営者に

よるリーダーシップを取るためには、第一に経営者がサイバーセキュリティを「経営課題」と位

置付けることが求められる。

前回調査においては、経営層が自社の情報セキュリティリスクや対策状況を審議する機会の有

無とその会議の有効性に関する設問で「会議等があり、情報セキュリティに関する意思決定の場

として機能している」と回答した割合は、日本が 66.0％、米国は 62.9％、欧州は 59.1％といずれ

も半数を超えており、経営層が情報セキュリティに対して意思決定を行う環境は整備されつつあ

る状況が確認された。

出所）前回調査

図 2.1-1 経営層の情報セキュリティに対する認識（前回調査）

一方で、日本情報システム・ユーザー協会が国内企業を対象に 2015 年度に実施した「企業 IT

動向調査 2016」4の経営幹部と情報セキュリティの関わりに関する設問では、「経営幹部が昨今の

企業を取り巻くセキュリティリスクの深刻さを重要視しており、重大なセキュリティリスクや対

策の重要性については、経営会議等で審議・報告される」と回答した企業は 32.5％であり、60.4％

の企業は「自社におけるセキュリティリスクは認識しているが、対策は IT 部門など担当部門に任

せている」と回答している。経営層が情報セキュリティのリスクについてある程度認識はしてい

ても、実際にリーダーシップを取ってセキュリティ対策を推進する状況には至っていない企業が

多いと考えられる。

さらに、同設問の結果を企業規模別に見ると、売上高 1 兆円以上の企業では、73.5%の企業にお

4一般社団法人日本情報システム・ユーザー協会「企業 IT 動向調査 2016」調査結果（2016 年 4 月）

http://www.juas.or.jp/servey/it16/it16_ppt.pdf

66.0

62.9

59.1

20.4

34.3

37.2

13.6

2.8

3.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場としては機能していない

経営層が、自社の情報セキュリティリスクや対策を審議する機会がない

4

いて、経営幹部がセキュリティに深く関わっており、企業規模が大きいほど経営幹部の関わりが

深くなることが示されており、中小企業を中心に、今後も経営者の意識改革は課題になると考え

られる。

出所）日本情報システムユーザー協会

図 2.1-2 経営幹部のセキュリティリスクに対する関わり方

グローバルの調査事例では、Ponemon Institute LLC 及び Raytheon が米国、欧州、MENA（中東・

北アフリカ）地域の、組織においてサイバーセキュリティにかかわる IT 及びセキュリティの上級

責任者 1,006 名を対象にした調査5がある。回答者の組織の経営層のサイバーセキュリティに対す

る認識として、現状は 75％の経営層が「必要コスト」、25％が「競争上のアドバンテージ」として

捉えている。一方で、専門家パネル（IT 及びセキュリティの上級責任者として 20 年以上のキャリ

アを持つ専門家）を対象とした予測調査では、3 年後にはこの割合が「必要コスト」が 41％、「競

争上のアドバンテージ」が 59％に逆転するという予測が示されており、経営層の中で、経営にお

けるサイバーセキュリティの位置づけに対する認識に徐々に変化が起きていることを示唆してい

る。

出所）Ponemon Institute LLC/Raytheon

図 2.1-3 企業の取組における優先事項（左：現在／右：3年後）

5 Ponemon Institute LLC/Raytheon, “2015 Global Megatrends in Cybersecurity,” (2015 年 2 月)

http://www.raytheon.com/news/rtnwcm/groups/gallery/documents/content/rtn_233811.pdf

5

また、同じ調査において、セキュリティ責任者が経営層に対して、定期的に自社のサイバーセ

キュリティ方針の説明を行うかという設問に対して、現在実施していると回答した企業は 22％に

とどまる一方で、専門家パネルに対する予測調査では、3 年後にはそれが 66％まで増えるという

結果になっている。現状では、セキュリティの責任者と経営層の間において、組織のセキュリテ

ィ方針に関する十分なコミュニケーションが行われていない可能性がある。

出所）Ponemon Institute LLC/Raytheon

図 2.1-4 セキュリティ責任者が経営層に対してサイバーセキュリティ方針の説明を行うか

（左：現在／右：3年後）

系列・サプライチェーンを含めたセキュリティ対策

サイバーセキュリティ経営の原則の 2 つ目として挙げられているのが、サイバーセキュリティ

対策において、自社組織内の体制構築だけでなく、サプライチェーンの系列会社やビジネスパー

トナー等の外部組織を含めた情報共有体制や対策の連携の必要性である。

前述の「サイバーセキュリティ経営ガイドライン解説書」では系列企業・ビジネスパートナー

の対策実施及び状況把握、IT システム管理の外部委託の実施方法について具体的に解説している。

前回調査では、業務委託先のセキュリティ対策把握状況について、「十分確認できている」及び

「ある程度確認できている」の回答割合の合計を見ると、日米欧いずれも 7 割以上を占めており、

業務委託先に対してセキュリティ対策の確認を行うことは一般化してきている。一方で、業務委

託先のセキュリティ対策の具体的な確認方法やその有効性については、前回調査では把握できて

いない。この点を踏まえ、本調査においては、業務委託先のセキュリティ対策の具体的な確認方

法（契約、監査等）や、対策の実施を担保するために導入されている仕組みについても確認する。

6

出所）前回調査

図 2.1-5 業務委託先のセキュリティ対策把握状況（前回調査）

参考として、2015 年に英国ロンドンで開催されたエンタープライズ IT イベント IP EXPO Europe

の参加者 160 名に対して、Tripwire が実施したサプライチェーンサイバーセキュリティに関する

調査6では、サプライヤとの契約において自社のセキュリティ要求を満たしているか確認している

とした回答は 72％であり、さらにパートナーやサプライヤに対して業務開始前に監査を受けるこ

とを要求するとした回答は 53％であった。このように、サプライチェーンにおいて、パートナー

やサプライヤに対するセキュリティ対策実施の具体的な確認方法として、契約や監査等を用いる

例があることが分かる。

出所）Tripwire

図 2.1-6 サプライヤとの契約における自社のセキュリティ要求の遵守状況の確認有無

6 Tripwire, “Tripwire IP Expo Survey on Supply Chain Cyber Security,”（2015 年 10 月）

https://www.tripwire.com/company/research/tripwire-ip-expo-survey/

28.4

42.8

37.2

49.5

31.3

38.1

7.8

11.0

12.2

4.4

3.3

3.9

3.7

4.7

2.4

6.1

6.9

6.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

十分確認できている ある程度確認できている ほとんど確認できていない

確認していない 委託・調達していない わからない

7

出所）Tripwire

図 2.1-7 パートナーやサプライヤに対する業務開始前の監査要求の有無

平時・緊急時における関係者とのコミュニケーション

サイバーセキュリティ経営の原則の 3 つ目として挙げられているのが、平時及び緊急時のいず

れにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適

切なコミュニケーションが行われることの重要性である。

特に組織外へのコミュニケーションとしては、サイバーセキュリティリスクや対策状況の開示

がその手段として考えられる。前回調査において、情報セキュリティポリシー等の平時の情報開

示については、情報セキュリティポリシーまたは情報セキュリティ上のリスクを公表している割

合は日本が 75.6％、米国 63.3％、欧州 63.2％であった。

また、インシデント発生時の情報開示基準の策定状況については、「インシデント発生時に対外

的に情報を開示する基準を定めている」と回答した割合は、日本が 47.1％、米国は 43.8％、欧州

は 39.1％となっている。

出所）前回調査

図 2.1-8 平時の情報開示（前回調査）

38.4

35.6

23.5

33.3

20.2

25.6

3.9

7.5

14.1

16.3

23.9

30.4

8.0

12.7

6.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している

情報セキュリティポリシーのみ公表している

情報セキュリティ上のリスクのみ公表している

いずれも公表していない

わからない

8

出所）前回調査

図 2.1-9 インシデント発生時の情報公開基準の策定（前回調査）

なお、米国では、証券取引委員会（SEC）が登録会社（上場企業）に対して、投資判断に影響を

及ぼしうるようなサイバーセキュリティリスク情報について、任意ではあるが、可能な範囲で投

資家と情報を共有するよう求めており、2011 年にはサイバーセキュリティの情報公開に関するガ

イダンスを公表している7。

さらに、2015 年 12 月には、SEC が公開会社に対して、経営陣の中にサイバーセキュリティの

専門家が含まれているかを公開するよう義務付ける法案（含まれていない場合はその代替的なセ

キュリティの取り組みを公開する。）が民主党及び共和党の上院議員によって上院に提出されてい

る8。同法案は上院の 2015-2016 年の会期終了に伴い廃案となったが、今後も企業のサイバーセキ

ュリティに関する開示義務のあり方に対する、米国議会の動向が注目される。

また、2016 年 8 月にサイバーセキュリティ戦略本部より公表された「サイバーセキュリティ

2016」9においては、「内閣官房及び金融庁において、上場企業におけるサイバー攻撃によるインシ

デントの可能性等について、米国の証券取引委員会（SEC）における取組等を参考にしつつ、事業

等のリスクとして投資家に開示することの可能性を検討し、結論を得る。その際、関連情報の共

有など開示するインセンティブを促すための仕組みの在り方についても併せて検討し、結論を得

る。」と書かれており、国内においてもサイバーセキュリティリスクや取組に対する情報開示に向

けた議論が行われている。

7 Securities and Exchange Commission, “CF Disclosure Guidance: Topic No. 2 Cybersecurity,” （2011 年 10

月）

https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm 8 S.2410 - Cybersecurity Disclosure Act of 2015, 114th Congress (2015-2016)

https://www.congress.gov/bill/114th-congress/senate-bill/2410 9 サイバーセキュリティ戦略本部「サイバーセキュリティ 2016」（2016 年 8 月）

http://www.nisc.go.jp/active/kihon/pdf/cs2016.pdf

47.1

43.8

39.1

23.6

31.8

35.9

16.3

14.0

18.1

12.9

10.4

6.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

インシデント発生時に対外的に情報を公開する基準を定めているインシデント発生時に対外的に情報を公開する基準を現在検討中であるインシデント発生時に対外的に情報を公開する基準を定めていないわからない

9

2.2.企業の CISOに求められる要件

「サイバーセキュリティ経営ガイドライン」では、経営層が情報セキュリティ対策を実施する

上での責任者となる CISO（Chief Information Security Officer: CISO）等の担当幹部に指示すべき具

体策について、表 2.2-1 に示す「重要 10 項目」を提示している。

表 2.2-1 情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO 等）

に指示すべき「重要 10項目」

指示１ サイバーセキュリティリスクへの対応について、組織の内外に示すための方針（セキュリティポリシ

ー）を策定すること。

指示２ 方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者をつなぐ仲介者としての

CISO 等からなる適切な管理体制を構築すること。その中で、責任を明確化すること。

指示３ 経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへ

の対処に向けた計画を策定すること。

指示４

計画が確実に実施され、改善が図られるよう、PDCA を実施すること。また、対策状況については、

CISO 等が定期的に経営者に対して報告をするとともに、ステークホルダーからの信頼性を高めるべ

く適切に開示すること。

指示５ 系列企業やサプライチェーンのビジネスパートナーを含め、自社同様に PDCA の運用を含むサイバー

セキュリティ対策を行わせること。

指示６ PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な予算の確保や人材育成な

ど資源の確保について検討すること。

指示７

IT システムの運用について、自社の技術力や効率性などの観点から自組織で対応する部分と他組織に

委託する部分の適切な切り分けをすること。また、他組織に委託する場合においても、委託先への攻

撃を想定したサイバーセキュリティの確保を確認すること。

指示８

攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映す

ること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被

害が社会全体に広がることの未然防止に貢献すること。

指示９

サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT（サイバー攻撃による

情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織）の

整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的

な演習を実施すること。

指示１０ サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情報項目の整理をするととも

に、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと。

出所）「サイバーセキュリティ経営ガイドライン Ver 1.1」

前回調査において、CISO 等（CISO または同等の責任者）の設置状況について、「経営層として

CISO 等を任命している」及び「経営層よりも下の階層に CISO 等を任命している」を合わせた割

合は、日本が 64.3％、米国が 78.8％、欧州が 85.0％と、日米欧の企業において既に CISO 等が広く

設置されている状況が明らかになった。

10

出所）前回調査

図 2.2-1 CISO等の任命状況（前回調査）

また、CISO 等の役割に関しては、図 2.2-2 に示すように前回調査においても組織の情報セキュ

リティにかかわる幅広い権限・役割を有していることは確認されているが、CISO 等に共通的に求

められる役割やその優先度、現在の実態と将来のあるべき姿といった観点における分析はできて

いない。

そこで、本調査では、特に CISO 等に求められる役割やスキル・経験に注目し、現状の把握、将

来に向けた課題の抽出を目指した。文献調査では、レポート等で定義されている CISO 等の現状

やあるべき姿を提示した情報を収集したうえで、共通する項目を抽出し、本調査の設問として設

定する CISO 等の役割・スキル・経験を整理した。

38.3

41.5

41.3

26.0

37.3

43.7

25.5

15.7

11.3

10.2

5.5

3.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

経営層としてCISO等を任命している

経営層よりも下の階層に、CISO等を任命している

CISO等を任命していない

わからない

11

出所）前回調査

図 2.2-2 CISO等が有する権限・役割（前回調査）

CISO等の役割、スキル・経験に関する情報

既存の文献における CISO 等の役割、スキル・経験に関する様々な整理を以下に示す。

CISO等の役割に関する整理の例

企業において求められる CISO 等の姿、すなわち役割やスキルなどは、業界、規模、経営状況、

企業文化等によって異なり、企業を取り巻く環境の変化によっても変容していくものと考えられ

る。近年では、大規模なインシデントの発生を契機に、インシデント対応の指揮を執る人材とし

て急遽 CISO 等や CISO 室等の役職や組織が設けられる事例も多い。技術や脅威等の組織を取り巻

く環境の変化に伴い CISO 等に求められる役割も多様化しており、様々な部門と連携して業務を

行う必要があるため、最近では組織のリスク管理の要となる位置づけになりつつある10。

10 Wisegate, “CISOs Share Advice on Managing Both Information Security & Risk: Learn how CISOs from

top companies are tackling their new dual role of information security & risk management”（2012）

http://www.wisegateit.com/resources/downloads/wisegate-risk-mgmt-report.pdf

73.0

63.0

62.4

53.4

40.2

35.4

44.2

41.8

25.4

0.3

5.3

69.4

62.4

56.7

57.7

49.5

50.7

61.1

43.9

37.8

0.2

5.9

66.7

62.3

57.3

52.1

46.2

42.0

53.4

39.7

32.5

0.0

2.8

0 % 20 % 40 % 60 % 80 %

情報セキュリティの方針、戦略の立案・計画

情報セキュリティ対策のフレームワーク、ポリシー、ルールの規定

情報セキュリティ対策予算の計画・取締役会における合意獲得

情報セキュリティのリスク評価、監査等の実施

情報セキュリティ対策の事業者、製品・ツールの選定

情報セキュリティ対策実施のための社内外の調整・説明

情報セキュリティ対策実施組織の管理・監督

情報セキュリティインシデント発生時の指揮・意思決定

情報セキュリティ対策に関する情報発信

その他

わからない

日本

(N=378)

米国

(N=471)

欧州

(N=459)

12

表 2.2-2 組織を取り巻く環境と CISO等に求められる役割

組織を取り巻く環境 CISO 等に求められる役割の例

IT 技術・脅威の高度化 ・ セキュリティ対策技術の導入、維持

・ セキュリティ部門の指揮・監督

法令・規制等の強化 ・ ポリシー・ルールの見直し

・ 法令遵守対応

・ 監査対応

・ 社内への教育・普及啓発

インシデントの顕在化 ・ インシデント対応の指揮

・ 関係機関との調整

・ 一般に向けた広報

CISO 等に求められる役割が多様化する中で、CISO 等の役割のバランスを取ることの重要性が

認識されてきている。2015年にデロイトが開始した新任CISOに向けたワークショップ活動「CISO

Transition Lab」に関する公表資料11の中で、CISO は表 2.2-3 に示す 4 つの顔（役割）を持ち、こ

れらをバランスよく備えることで、サイバーセキュリティの取組が組織に及ぼす価値を最大化す

ることが重要であるとしている。デロイトが独自に行った調査では、現状 CISO は業務時間の 77％

をテクノロジストとガーディアンといった技術的な役割に充てているが、一方で理想的にはその

割合を 35％程度とし、残りの 2 つの役割（ストラテジストとアドバイザー）を強化すべきと考え

ている、という結果が示された12。

表 2.2-3 CISOに求められる 4つの顔（役割）

CISO の顔（役割） 定義

マネジメント的側面 Strategist 事業及びサイバーリスク戦略の調整を主導するとと

もに、価値ある投資によってリスクを管理するための

変革を創造・推進する。

Advisor サイバーセキュリティリスクの観点から事業に対し

て、教育、アドバイス、普及啓発を行う。

技術的側面 Guardian 脅威の全体像を理解し、サイバーリスクに関するプロ

グラムの有効性を高めることで事業資産を保護する。

Technologist 組織のセキュリティ機能を構築するためのセキュリ

ティ技術及び標準の評価、導入を行う。

出所）デロイト

11 Deloitte, “Deloitte reveals top challenges facing new chief information security officers,” （2015 年 8 月）

https://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-reveals-top-challenges-

facing-new-cisos.html 12 CISOの 4 つの顔（役割）の業務時間に関する調査結果は、図 2.2-3 中の数字ではなく、デロイトの 2015 年

8 月のプレスリリース本文に記載されている数字を引用している。

13

出所）デロイト

図 2.2-3 CISOに求められる 4つの顔（役割）のイメージ

CISO等のスキル・経験に関する分析

欧米等では CISO 等の専門人材を外部から採用するケースも一定数あるため、人材市場におい

て CISO 等の求人も多く公開されている。グローバルで技術系人材紹介を行う Robert Half

Technologyが毎年公開する職種別の給与データを掲載した IT 系人材の給与ガイド13では、CISO 等

に相当する、組織の情報セキュリティ、コンプライアンス、プライバシー等の確保に責任を有す

る役職として、CSO（Chief Security Officer）を紹介している。同ガイドにおける米国の CSO の最

新の給与（年棒）水準は 145,250～236,750 米ドルで、毎年 5～7％の割合で上昇を続けている。

13 Robert Half Technology, “2017 Salary Guide,”（2016 年）

https://www.roberthalf.com/technology/salary-center-for-technology-professionals

14

出所）Robert Half Technology「Salary Guide」（2014~2017）をもとに三菱総合研究所作成

図 2.2-4 CSOの給与（年棒）水準（米国）

なお、同ガイドでは、CSO の典型的な Job Description（職務記述書）14を以下のように例示して

いる。特に、セキュリティ分野においては関連業務経験が重視されており、経営／非経営レベル

のセキュリティ人材の給与レベルは、業務経験年数に比例して上昇するとした調査もある15。この

点において、2015 年 6 月に発足した「産業横断サイバーセキュリティ人材育成検討会」の報告書

16においては、日本企業では役員としての CISO にセキュリティ分野での豊富な経験を求める傾向

は高くないとの指摘もあり17、CISO に求められる人材像には国による違いもあると考えられる。

14 Robert Half Technology, “2016 Salary Guide,”（2015 年） 15 SANS Institute, “Cybersecurity Professional Trends: A SANS Survey,” （2014 年）

https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615 16 2015 年 2 月に日本経済団体連合会が公表した「サイバーセキュリティ対策の強化に向けた提言」の中で重要

とされた人材育成の活動を推進すべく、日本電信電話株式会社、日本電気株式会社、株式会社日立製作所の 3 社

が発起人・事務局となって 2015 年 9 月に発足。 17「産業横断サイバーセキュリティ人材育成検討会」 第一期最終報告書（2016 年）

http://www.cyber-risk.or.jp/sansanren/xs_20160914_01_Report_1.0.pdf

15

表 2.2-4 CSOの Job Descriptionの例

・ 情報セキュリティに対する幅広い経験と急速に変化するビジネスの重要な機能としての深

い知見を有することが求められる。

・ 情報システム及び関連分野の学士以上の学位の保有に加え、情報セキュリティ、コンプラ

イアンス、プライバシーを中心とした 10 年以上の業務経験が求められる。

・ 複雑なセキュリティシステムを構築・維持していく上で優れた判断力及び卓越した計画能

力が必要とされる。

・ コンプライアンス及びセキュリティに関連する認定資格の保有が求められる。 （主な職務の例）

・組織全体のセキュリティポリシー及びシステムのマネジメント

・長期的な情報セキュリティ及びプライバシー戦略の策定、導入、モニタリング

・組織のセキュリティ及びコンプライアンスに関わる必須標準への準拠徹底

・データセキュリティの維持・向上のためのベンダ、取引先、コンサルタントとの協働

出所）Robert Half Technology「Salary Guide 2016」

出所）SANS Institute

図 2.2-5 サイバーセキュリティ人材（管理職／非管理職）の業務経験年数と給与水準の相関

CISO 等の経歴は多様である。最も一般的なキャリアとしては組織の情報システムや情報セキュ

リティ担当部署における経験を経て責任者となる例であるが、リスク管理の観点から法務・コン

プライアンス部門の出身者が担うケースもある。

また、CISO 等は他の役職と兼務されるケースも多く、前回調査のうち日本シーサート協議会会

員企業 67 社を対象に実施した調査では CISO 等のうち、情報システムセキュリティ担当部門の責

任者と兼務する割合が 32.7％、CPO（Chief Praivacy Officer, 個人情報保護最高責任者）が 28.6％、

CIO（Chief Information Officer, 最高情報責任者）が 28.6％となっている。

CISO 等が持つ専門的スキル・技術は CISO 等個人の元々の専門性や経歴に左右されるところが

大きいと考えられる一方、組織の情報セキュリティを統括する立場として、以下に示すような共

通的に求められるスキルもあると考えられる。

16

（CISO 等に共通して求められるスキルの例）18

・ ビジネス感覚・分析力

・ 創造性・革新性

・ B-to-B コミュニケーション

・ 関係性、影響力、存在感

・ リーダーシップ

出所) CIO Magazine

我が国企業の CISO等の在り方に関する検討

我が国政府においても、組織における CISO 等に相当する人材育成の必要性が叫ばれている。

2016 年 3 月にサイバーセキュリティ戦略本部が取りまとめた、「サイバーセキュリティ人材育成

総合強化方針」19では、サイバーセキュリティの取組を担う人材として、経営層と実務者層との間

のコミュニケーションを円滑にする「橋渡し人材層」（経営層の示す経営方針に基づくサイバーセ

キュリティ対策を実践し、実務課題を踏まえた経営戦略を提示し、さらに、組織内の関係部局間

の総合調整や実務者層をまとめリードすることができる人材層）の必要性を示し、その育成を掲

げている。その定義から、「橋渡し人材層」は CISO 等にも当てはまる人材と考えられ、「橋渡し人

材層」に求められる要件として、以下のようなキーワードが挙げられている。

・ サイバーセキュリティの知識

・ サイバーセキュリティに係る課題を、提供する機能やサービスの観点からリスクを分析

し、残存リスクの情報も添えて経営者層に対し提供し総合的な判断を受ける「機能保証

（任務保証）」の考え方に基づく取組

・ 経営の立場や危機管理上の課題に基づく、取るべきサイバーセキュリティ対策の提示

・ 実務者としての組織内の業務経験

・ 実務者層をまとめ指揮できるリーダー的な役割

また、前述の「産業横断サイバーセキュリティ人材育成検討会」では、産業界が取り組むべき

サイバーセキュリティ対策の課題の 1 つとして「人材の確保（育成と雇用）」に焦点を当て、検討

を行っている。2016 年 9 月には、同検討会の成果の 1 つとして「産業横断人材定義リファレンス」

20として、サイバーセキュリティ対策機能を実現する業務とそれを担う各種役割（担当）ごとの要

求知識及び業務区分の一覧を公表した。

同検討会においては「サイバーセキュリティ対策統括」機能に責任を負う役割として「CISO／

CRO／CIO 等」を位置づけ、機能と業務に基づく人材として表 2.2-5 のように定義している。

18 CIO Magazine, “Inside the Changing Role of the CISO,” （2014 年 6 月）

http://www.cio.com/article/2367504/security0/inside-the-changing-role-of-the-ciso.html 19 サイバーセキュリティ戦略本部「サイバーセキュリティ人材育成総合強化方針」（2016 年 3 月）

http://www.nisc.go.jp/active/kihon/pdf/jinzai_kyoka_hoshin.pdf 20 産業横断サイバーセキュリティ人材育成検討会「産業横断人材定義リファレンス」（2016 年 9 月）

http://cyber-risk.or.jp/sansanren/index.html

17

表 2.2-5 「CISO/CRO/CIO 等」の人材定義リファレンス

主な機能概要 セキュリティ

機能定義

サイバーセキュリティ対策機能を

実現する業務

業務区分

全体統括管理 サイバーセキュ

リティ統括

サイバーセキュリティ対策に関する全社的

統括

5（業務責任

を負う）

IT 戦略 事業戦略

中期計画

コンプライアンス、ガバナンス及びリスク

マネジメントの観点に基づくセキュリティ

対策

4（業務責任

者を支援・

補佐する）

年次計画 セキュリティ対策に係る実施計画の企画立

案、規程・ルールの策定

4

ICT 企画

（個別 IT 企画）

各事業に対する IT 導入・構築運用改善計画

の企画立案、ガイドライン・マニュアルの策

定

4

ライセンス管理を踏まえた、リプレース計

画の企画立案、固定資産管理・ソフトウェア

会計管理

4

システム企画 セキュリティ

実装計画

ユーザビリティの観点に基づく機能改善・

実装計画の企画立案、エンドポイント及び

UIに関するセキュリティ機能改善計画の策

定

4

システムセキュリティの観点に基づく機能

改善・実装計画の企画立案システム構成に

関するセキュリティ機能改善計画の策定

4

事業継続 IT-BCP ICT 環境における事業継続計画の策定、サ

イバーセキュリティ保険の導入検討

4

セキュリティ

対策

ディザスタ

リカバリ

災害対策（DR）に関する ICT 環境改善計画

の策定

4

災害対策及び災害発生時に関する稼働計画

の策定

4

情報セキュリテ

ィマネジメント

情報資産保護活動における ICT 環境改善計

画の策定、情報資産の保護基準・保護方法の

改善、情報漏洩保険の導入検討

4

情報資産保護活動における ICT 運用改善活

動の策定、情報資産の棚卸

4

出所）産業横断サイバーセキュリティ人材育成検討会

同検討会では、CISO の役職（役員とすべきか）については企業の判断によるとしながら、CISO

が任務を果たすことができる権限が経営トップから委譲されていることを CISO の要件としてい

る。また、日本企業においては CIO や CISO が必ずしもセキュリティの専門性を有していないケ

ースが多いとして、インシデント発生時に、インシデント解析結果等をもとに、自社の業務に与

えうるリスクを明確化する組織（経営判断のための「翻訳機能」を担う組織）と人物の存在が重

要としている。

18

本調査において確認する CISOに求められる役割・スキル・経験

2.2.1 の文献調査の結果を踏まえ、本調査のアンケート調査において設定する CISO 等に求めら

れる役割・スキル・経験を以下のように整理した。

表 2.2-6 においては、CISO 等に求められる役割を技術、ガバナンス、リスク管理、事業貢献の

4 つの観点から 12 項目挙げている。

表 2.2-7 においては、業種や役職によらず、様々なタイプの CISO 等において共通的に求められ

るスキル・経験を 7 項目挙げている。

次章に示すアンケート調査においては、これらの項目に対して現状の CISO 等の状況及び将来

のあるべき姿を調査した。

表 2.2-6 CISO 等の役割

分類 役割 説明

技術

①セキュリティ技術分

析・評価

セキュリティ技術開発・評価・実装の指揮

最新の脅威・対策技術情報のフォロー

②CSIRT・SOC の管理・

監督

インデント対応組織（CSIRT）の構築・管理監督

セキュリティ監視組織（SOC）の構築・管理監督

インシデント対応の指揮

③IT 導入におけるセキ

ュリティ上の助言

全社情報システム企画・導入における助言

新規技術導入による影響評価等

ガバナンス

④セキュリティ目標・計

画・予算の策定・評価

セキュリティ目標・計画・予算の策定

セキュリティ目標・計画・予算の評価

⑤経営層との橋渡し 目標・計画・予算に関する、経営層からの承認獲得

経営層の方針のセキュリティ部門への伝達

セキュリティ状況の経営層への説明

⑥セキュリティ意識の醸

成

従業員向け教育・研修の方針策定

セキュリティ意識向上のための普及・啓発

リスク管理

⑦リスク分析・評価 リスク分析・評価実施方針の決定

リスク分析・評価実施結果の承認

⑧セキュリティ対策の推

進

セキュリティ対策方針の決定

セキュリティ対策実施状況の確認

⑨法令遵守・監査対応 法令遵守対応の指揮（法令の理解、社内ルールの策定、

遵守状況の評価等）

外部監査対応（認証、業界規制等）

事業貢献

⑩事業目標との整合 事業とリスクのバランス

セキュリティ目標・計画に対する事業部門の合意形成

⑪事業継続の支援（BCP

（Business Continuity

Plan，事業継続計画））

情報インフラ・サービスの事業継続性確保

インシデント発生時のセキュリティ確保とサービス

継続の判断

⑫外部組織との連絡・調

整・発信

他企業・セキュリティ関連団体との情報共有

企業価値向上のためのセキュリティの情報開示

関係官庁等との対応

19

表 2.2-7 CISO等のスキル・経験

1. コミュニケーションスキル（経営層や現場、ステークホルダー等）

2. プレゼンテーションスキル（わかりやすい資料作成）

3. ICT スキル（セキュリティ技術や ICT に関する知識等）

4. リーダーシップ（プロジェクトマネジメントスキル）

5. ビジネススキル（経営や会計、リソース管理、リスク分析等の知識）

6. 自社事業への理解

7. 実務経験（CISO 等やセキュリティ関連組織のマネージャとしての経験）

8. インシデント対応経験

2.3.文献調査を踏まえた調査のポイント

文献調査で得られた知見を踏まえ、アンケート調査においては表 2.3-1 に示す点を確認するよ

うに設問項目の設計を行った。

表 2.3-1 文献調査を踏まえたアンケート調査における確認事項

調査項目 文献調査の考察 アンケート調査における

確認事項

サイバーセ

キュリティ

経営ガイド

ライン 3 原

則

(1) 経営者によるサ

イバーセキュリティ

リスクの認識、対策

のリーダーシップの

必要性

経営層によるサイバーセ

キュリティリスクや対策

の必要性に対する認識は

高まっているものの、経営

層がリーダーシップをと

り対策を推進するには至

っていない。

・ 経営層のサイバーセキュ

リティリスクや対策への

認識

・ 現場とのコミュニケーシ

ョン

・ 経営層と現場の認識の差

(2) 系列・サプライ

チェーンを含めたセ

キュリティ対策

サプライチェーンにおけ

るセキュリティ対策の確

認は実施されているが、そ

の仕組みの有効性におい

ては課題が残る。

・ サプライチェーンにおけ

るセキュリティ対策の確

認の実施状況、具体的な確

認方法

・ セキュリティ対策の実施

を担保するための仕組み

(3) 平時・緊急時に

おける関係者とのコ

ミュニケーション

国内外で情報セキュリテ

ィリスクやサイバーセキ

ュリティへの取組に対す

る情報開示に対する企業

の意識が高まっている。

・ 企業の平時／インシデン

ト発生時の情報開示の実

施状況

CISO 等に求められる要件

CISO 等の役割が多様化す

る中で、技術、マネジメン

ト、リスク管理、事業貢献

等の役割について、組織に

最適なバランスをとるこ

とが課題となっている。

・ CISO 等に求められる役

割、スキル、経験の現状把

握、将来のあるべき姿

・ 役割のバランス、優先度

20

3.アンケート調査及び分析

3.1.調査の概要

企業の情報セキュリティに対する取り組み状況等を把握することを目的に、文献調査結果をも

とに仮説を立案し、日本・米国・欧州の企業を対象としたアンケート調査を実施した。

本調査は、従業員数 300 人以上の企業を対象とし、欧州の調査対象国は英国・独国・仏国とし

た。調査の概要および回答企業の属性は、表 3.1-1、図 3.1-1 から図 3.1-4 の通りである21。

表 3.1-1 アンケート調査の概要

調査目的

日本及び海外諸国の企業経営者の情報セキュリティに対する認識や関与の状

況、情報セキュリティ対策の実施状況等を把握し、より有効な取り組みなどを

明らかにする。

調査対象

日本・米国・欧州（英・独・仏）の従業員数 300 人以上の企業に所属する

・CISO（Chief Information Security Officer/最高情報セキュリティ責任者）

・情報システムの担当者・責任者

・情報セキュリティの担当者・責任者

調査期間 2016 年 10 月上旬から 11 月上旬

調査方法 ウェブアンケート調査（調査画面は各国の公用語で作成）

回収結果 日本 755 件、米国 527 件、欧州 526 件（英 192 件、独 182 件、仏 152 件）

調査項目

・回答企業の基本情報

・サイバー攻撃に関する被害の実態

・情報セキュリティ対策への経営層の関与

・組織的な情報セキュリティ対策の実施状況、効果

・技術的な情報セキュリティ対策の実施状況、効果 等

データ精査

アンケートデータの精度向上を目的に、以下の設問の回答及び回答時間の条件

に該当する回答データを除外した。

・問 24「セキュリティ製品・ソリューション導入状況」で、「ウイルス対策ソ

フト・サービス」・「ファイアウォール」のどちらも選択していない回答

・回答時間が 180 秒未満の回答

・回答者の役職に関する設問で、「CISO 等」と回答した回答のうち、問 11「CISO

等設置状況」で「CISO 等を設置していない」・「わからない」と回答した回答

・問 1 で「IT 投資額・セキュリティ投資額」で異常値を入力している回答

・企業名を回答する設問で、企業名が重複している回答

21 アンケート調査結果の詳細に関しては 5.データ集 を参照。

21

図 3.1-1 従業員数

図 3.1-2 役職

図 3.1-3 業種

0.0

0.0

0.0

18.9

15.0

14.6

9.5

11.6

8.9

13.9

19.4

17.1

21.3

21.6

22.6

12.3

14.8

13.1

14.3

9.3

12.0

9.7

8.3

11.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

300名未満 300名～500名 501名～700名 701名～1，000名

1，001名～3，000名 3，001名～5，000名 5，001名～10，000名 10，001名以上

13.8

31.5

26.4

30.2

57.1

49.0

56.0

11.4

24.5

0.0

0.0

0.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等※

情報システム/セキュリティ担当部門の責任者

情報システム/セキュリティ担当部門の担当者

その他

1.1

0.6

1.0

0.1

0.6

1.1

6.1

14.4

5.1

23.4

15.0

15.8

2.4

2.3

1.1

0.1

0.2

0.4

13.2

19.7

18.8

4.0

2.8

7.8

8.3

0.9

4.6

7.3

8.0

8.4

1.6

1.3

0.8

4.8

9.9

8.2

1.1

1.5

4.4

1.6

0.4

0.4

0.7

0.8

0.6

4.2

3.4

4.8

2.1

2.3

6.1

14.0

2.7

4.2

3.8

13.3

6.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

農業、林業及び漁業 鉱業及び採石業建設業 製造業電気、ガス、蒸気及び空調供給業 水供給、下水処理並びに廃棄物管理及び浄化活動情報通信業 運輸・保管業卸売・小売業並びに自動車及びオートバイ修理業 金融・保険業不動産業 専門・科学・技術サービス業管理・支援サービス業 宿泊・飲食サービス業芸術・娯楽及びレクリエーション 教育保健衛生及び社会事業 その他のサービス業

22

図 3.1-4 売上高

3.2.調査結果22

経営層の関与

CISO等設置状況

CISO 等の設置状況について、「専任の CISO 等を設置している」との回答割合は日本は 3 割未

満であるが、米国では 78.7％、欧州では 67.1％が専任の CISO 等を設置している。CISO 等の設

置状況（専任・兼任）は日本は 6 割程度、米欧は 8 割を超えており、日本は兼任の CISO 等の割

合が米欧に比べて高い（図 3.2-1 参照）。

図 3.2-1 CISO 等設置状況

22調査結果について、一部アンケート結果で N 数が有効回答数（日本 755 件、米国 527 件、欧州 526 件）と異

なる設問がある。これは、条件付の設問で一部の回答者のみ回答しているためである。また、CISO 等設置状況

別のクロス集計については、CISO 等設置状況について「わからない」との回答を集計対象から除外している。

4.6

4.0

2.9

9.4

9.1

9.3

10.5

13.3

9.9

22.9

17.3

20.0

11.9

15.4

18.4

13.0

19.5

13.5

11.3

12.3

10.8

5.8

5.7

5.5

10.6

3.4

9.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

10億円未満 10億円～50億円未満 50億円～100億円未満

100億円～500億円未満 500億円～1,000億円未満 1,000億円～5,000億円未満

5,000億円～1兆円未満 1兆円以上 不明

27.9

78.7

67.1

34.7

16.5

17.5

29.0

3.6

13.3

8.3

1.1

2.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

専任のCISO等を設置している 兼任のCISO等を設置している

CISO等を設置していない わからない

23

経営層または上司からの説明状況

直近の 1 年間で経営層または上司から、情報セキュリティが経営上のリスクの 1 つであるとの

説明を受けたかを確認したところ、「説明を受けた」との回答は米欧は 8 割を超えているが、日本

は 66.5％で、米欧に比べ経営層または上司から説明を受けている割合は低い（図 3.2-2 参照）。

図 3.2-2 経営層または上司からの説明状況

経営層または上司からの説明状況について CISO 等の設置状況別に比較すると、日米欧ともに

CISO 等を設置している企業では、経営層または上司から「説明を受けた」との回答割合が、CISO

等を設置していない企業に比べ高い。特に日本の CISO 等を設置していない企業では「説明を受

けていない」との回答が 6 割程度と高い（図 3.2-3 参照）。

図 3.2-3 経営層または上司からの説明状況（CISO等設置状況別）

情報セキュリティに関する会議等の有無

経営層が主体的に、自社の情報セキュリティリスクや対策、投資計画を審議する会議等の有無

について、「会議等があり、情報セキュリティに関する意思決定の場として機能している」との回

答は米国が 83.3％、欧州は 72.4％となっており、日本の 57.7％と比べると意思決定の場として機

能しているとの回答割合が高い（図 3.2-4 参照）。

66.5

92.8

84.2

33.5

7.2

15.8

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

説明を受けた 説明を受けていない

87.2

79.4

41.1

94.7

88.5

78.9

89.0

85.9

65.7

12.8

20.6

58.9

5.3

11.5

21.1

11.0

14.1

34.3

0% 20% 40% 60% 80% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

説明を受けた 説明を受けていない

24

図 3.2-4 情報セキュリティに関する会議等の有無

同様の設問について、CISO 等の設置状況別に比較すると、日米欧ともに CISO 等を設置してい

る企業では、「会議等があり、情報セキュリティに関する意思決定の場として機能している」との

回答が CISO 等を設置していない企業に比べ高く、特に「専任の CISO 等を設置している」企業ほ

どその割合は高い。

また、日本の CISO 等を設置していない企業は、米欧の CISO 等を設置していない企業と比較す

ると「経営層が、自社の情報セキュリティリスクや対策を審議する会議等がない」との回答割合

が高い（図 3.2-5 参照）。

図 3.2-5 情報セキュリティに関する会議等の有無（CISO等設置状況別）

セキュリティ投資に対する経営層と現場の認識の差

セキュリティ投資に対する考え方（投資の優先度、投資額等）について、経営層と情報セキュ

リティ担当部門または情報システム担当部門で認識に差があるかを確認したところ、考えが「一

57.7

83.3

72.4

24.4

15.6

24.3

17.9

1.1

3.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場ではない

経営層が、自社の情報セキュリティリスクや対策を審議する会議等がない

87.2

65.3

28.3

85.8

73.6

78.9

80.5

60.9

51.4

10.0

26.3

35.2

12.8

26.4

21.1

17.6

39.1

37.1

2.8

8.4

36.5

1.4

0.0

0.0

2.0

0.0

11.4

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場ではない

経営層が、自社の情報セキュリティリスクや対策を審議する会議等がない

25

致している」との回答は日米欧で 5 割程度で大きな差がないが、「一致していない」との回答は米

欧は 4 割程度となっている。一方、日本は「わからない」との回答が 2 割程度ある（図 3.2-6 参

照）。

図 3.2-6 セキュリティ投資に対する経営層と現場の認識の差

同様の設問について役職別で比較すると、日本は CISO 等の上位の役職ほど「一致している」と

回答する割合が高く、担当者レベルでは「一致している」の回答割合が低下している。米欧は CISO

等と責任者のほうが担当者に比べ「一致している」と回答する割合がやや高いが、日本と比べる

と役職による回答傾向に大きな差はなく、各役職で「一致してない」と回答する割合が高い（図

3.2-7 参照）。

図 3.2-7 セキュリティ投資に対する経営層と現場の認識の差（回答者役職別）

59.3

52.4

55.9

22.4

45.0

37.1

18.3

2.7

7.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

一致している 一致してない わからない

90.4

68.4

46.8

54.8

52.5

45.0

57.6

59.7

46.5

8.7

20.6

26.7

43.4

44.5

51.7

38.1

34.9

40.3

1.0

11.0

26.5

1.8

3.0

3.3

4.3

5.4

13.2

0% 20% 40% 60% 80% 100%

CISO（Chief Information Security Officer/最高情報セ

キュリティ責任者）等(n=104)

情報システム/セキュリティ担当部門の責任者(n=228)

情報システム/セキュリティ担当部門の担当者(n=423)

CISO（Chief Information Security Officer/最高情報セ

キュリティ責任者）等(n=166)

情報システム/セキュリティ担当部門の責任者(n=301)

情報システム/セキュリティ担当部門の担当者(n=60)

CISO（Chief Information Security Officer/最高情報セ

キュリティ責任者）等(n=139)

情報システム/セキュリティ担当部門の責任者(n=258)

情報システム/セキュリティ担当部門の担当者(n=129)

日本

(n=7

55

)米国

(n=5

27

)欧州

(n=5

26

)

一致している 一致してない わからない

26

自社拠点・サプライチェーンのセキュリティ対策

自社拠点のセキュリティ対策把握状況・把握方法

自社の国内拠点のセキュリティ対策の把握状況について、「状況を把握し、指示している」との

回答は日本は 65.8％で、米欧は約 76％となっている。日米欧ともに国内拠点の「状況を把握して

いる」との回答は 8 割を超えており、国内拠点に関しては把握できていると考えられる（図 3.2-8

参照）。

また、海外拠点のセキュリティ対策の把握状況についても、「状況を把握し、指示している」と

の回答は日本に比べ米欧のほうが高い（図 3.2-9 参照）。

図 3.2-8 国内拠点のセキュリティ対策把握状況（拠点なしを除く）

図 3.2-9 海外拠点（系列会社を含む）のセキュリティ対策の把握状況（拠点なしを除く）

自社拠点のセキュリティ対策の把握方法について、「状況を把握し、指示している」「状況は把

握しているが、指示はしていない」を選択した回答を確認したところ、日米は国内拠点・海外拠

65.8

76.2

76.8

16.6

15.6

12.9

5.6

5.2

5.1

4.7

2.1

2.1

7.2

1.0

3.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=745)

米国(N=520)

欧州(N=513)

状況を把握し、指示している 状況は把握しているが、指示はしていない

状況は把握していないが、指示はしている 状況を把握しておらず、指示もしていない

わからない

47.3

51.1

62.8

18.5

26.2

18.1

8.0

13.7

7.7

12.1

5.1

4.4

14.2

4.0

7.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=438)

米国(N=454)

欧州(N=430)

状況を把握し、指示している 状況は把握しているが、指示はしていない

状況は把握していないが、指示はしている 状況を把握しておらず、指示もしていない

わからない

27

点ともに、「拠点担当者に、自主点検の実施と報告を依頼している」の回答が最も高く、以下「監

査を実施している」、「規程や契約で対策の実施を要求している」の順となっている。欧州は、「監

査を実施している」が最も高く、「拠点担当者に、自主点検の実施と報告を依頼している」、「規程

や契約で対策の実施を要求している」の順となっている（図 3.2-10、図 3.2-11 参照）。

図 3.2-10 国内拠点のセキュリティ対策の把握方法

図 3.2-11 海外拠点（系列会社を含む）のセキュリティ対策の把握方法

委託先のセキュリティ対策把握状況・確認方法

委託先（業務委託先及び物品調達先）のセキュリティ対策の把握状況について、業務委託先に

関しては、米欧は日本に比べ「十分確認できている」との回答割合が高い。また、「十分確認でき

ている」と「ある程度確認できている」の回答を合計すると、米欧は 8 割を超えており、業務委

託先のセキュリティ状況を確認できているとの回答割合が高い（図 3.2-12 参照）。

70.7

59.3

37.0

1.1

3.7

66.2

44.4

32.5

1.0

0.2

45.9

55.0

35.9

0.4

1.7

0 % 20 % 40 % 60 % 80 %

拠点担当者に、自主点検の実施と

報告を依頼している

監査を実施している

規程や契約で対策の実施を要求し

ている

その他

わからない

日本(N=614)米国(N=477)欧州(N=460)

70.5

54.5

33.0

0.3

3.1

55.3

46.7

30.8

1.1

1.1

43.7

52.3

37.4

0.9

2.3

0 % 20 % 40 % 60 % 80 %

拠点担当者に、自主点検の実施と

報告を依頼している

監査を実施している

規程や契約で対策の実施を要求し

ている

その他

わからない

日本(N=288)

米国(N=351)

欧州(N=348)

28

図 3.2-12 業務委託先のセキュリティ対策把握状況（委託なしを除く）

業務委託先のセキュリティ対策の把握方法について「十分確認できている」「ある程度確認でき

ている」「ほとんど確認できていない」を選択した回答を確認したところ、日米では「委託先等に、

自主点検の実施と報告を依頼している」の割合が最も高く、欧州では「委託先等の監査を実施し

ている」の割合が最も高い（図 3.2-13 参照）。

図 3.2-13 業務委託先のセキュリティ対策の把握方法

次に、物品調達先についてみると、日米欧ともに業務委託先に比べると「十分確認できている」

と「ある程度確認できている」の回答割合は低下するが、米欧は日本に比べ確認できているとの

回答割合が高い（図 3.2-14 参照）。

33.5

66.0

54.2

44.4

24.0

32.3

8.2

8.3

7.7

5.8

0.8

2.9

8.1

1.0

2.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=720)

米国(N=520)

欧州(N=517)

十分確認できている ある程度確認できている ほとんど確認できていない

確認していない わからない

64.4

43.2

31.9

0.5

5.0

58.9

44.8

24.7

0.6

0.8

39.8

47.0

33.5

0.8

2.1

0 % 20 % 40 % 60 % 80 %

委託先等に、自主点検の実施と報

告を依頼している

委託先等の監査を実施している

契約で対策の実施を要求している

その他

わからない

日本(N=620)

米国(N=511)

欧州(N=487)

29

図 3.2-14 物品調達先のセキュリティ対策把握状況（調達なしを除く）

物品調達先のセキュリティ対策の把握方法について、「十分確認できている」「ある程度確認で

きている」「ほとんど確認できていない」を選択した回答を確認したところ、日本は「委託先等に、

自主点検の実施と報告を依頼している」を回答する割合が高いが、米欧では「委託先等の監査を

実施している」との回答が日本に比べ高い（図 3.2-15 参照）。

図 3.2-15 物品調達先のセキュリティ対策の把握方法

平時・緊急時の情報開示

平時の情報開示

情報セキュリティポリシーや情報セキュリティ上のリスクの対外公表の状況について、「情報セ

キュリティポリシー・情報セキュリティ上のリスクともに公表している」との回答は日欧は 4 割

程度、米国は 6 割となっている。また、前回調査結果と比較すると、「情報セキュリティポリシー・

情報セキュリティリスク上のリスクともに公表している」の回答割合が米国では 2 割以上、欧州

では 1 割以上増加している（図 3.2-16、図 3.2-17 参照）。

25.8

44.8

46.5

38.3

35.4

32.3

14.2

12.3

12.2

10.0

5.9

4.4

11.7

1.6

4.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=702)

米国(N=505)

欧州(N=499)

十分確認できている ある程度確認できている ほとんど確認できていない

確認していない わからない

54.4

38.4

31.5

0.4

7.8

41.8

49.9

30.0

0.9

1.3

31.7

45.8

38.5

1.1

2.6

0 % 20 % 40 % 60 %

委託先等に、自主点検の実施と報

告を依頼している

委託先等の監査を実施している

契約で対策の実施を要求している

その他

わからない

日本(N=550)米国(N=467)欧州(N=454)

30

図 3.2-16 平時の情報開示

図 3.2-17 平時の情報開示（前回調査）

情報開示の状況について CISO 等設置状況で比較すると、日米欧ともに、「情報セキュリティポ

リシー・情報セキュリティ上のリスクともに公表している」との回答割合は「専任の CISO 等を設

置している」企業ほど高い。特に日本の「CISO 等を設置していない」企業では「いずれも公表し

ていない」との回答が 45.2%となっている（図 3.2-18 参照）。

40.7

60.0

39.7

28.9

22.2

27.6

4.6

8.2

14.3

19.6

8.0

14.8

6.2

1.7

3.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している

情報セキュリティポリシーのみ公表している

情報セキュリティ上のリスクのみ公表している

いずれも公表していない

わからない

38.4

35.6

23.5

33.3

20.2

25.6

3.9

7.5

14.1

16.3

23.9

30.4

8.0

12.7

6.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している

情報セキュリティポリシーのみ公表している

情報セキュリティ上のリスクのみ公表している

いずれも公表していない

わからない

31

図 3.2-18 平時の情報開示（CISO等設置状況別）

情報セキュリティポリシー・情報セキュリティ上のリスクについて、「いずれも公表していない」

を選択した回答に対して非開示理由を確認したところ、日本は「開示義務がない」の回答が最も

高い。一方米欧では、「情報開示により、攻撃を受ける可能性が高まるから」との回答が日本に比

べ高く、5 割を超えており、前回同様情報開示によるデメリットを考慮していると考えられる（図

3.2-19、図 3.2-20 参照）。

図 3.2-19 情報開示を実施しない理由

75.8

37.8

15.1

63.9

47.1

42.1

47.0

25.0

28.6

16.1

42.7

31.5

19.3

35.6

26.3

24.9

40.2

28.6

1.4

6.5

5.5

8.2

8.0

10.5

11.9

19.6

17.1

5.7

10.3

45.2

7.2

8.0

15.8

14.4

12.0

18.6

0.9

2.7

2.7

1.4

1.1

5.3

1.7

3.3

7.1

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している情報セキュリティポリシーのみ公表している情報セキュリティ上のリスクのみ公表しているいずれも公表していないわからない

70.3

13.5

13.5

16.2

2.0

40.5

31.0

54.8

0.0

0.0

52.6

20.5

51.3

2.6

0.0

0 % 20 % 40 % 60 % 80 %

開示義務がない

投資家等のステークホルダーからの開示要請がない

情報開示により、攻撃を受ける可能性が高まるから

開示したいと考えているが、そのためのリソース（人員・予

算・時間等）が不足している

その他

日本(N=148)

米国(N=42)

欧州(N=78)

32

図 3.2-20 情報開示を実施しない理由（前回調査）

インシデント発生時の情報開示

インシデント発生時の情報開示について、「インシデント発生時に対外的に情報を公開する基準

を定めている」との回答は米国では 6 割、欧州では 5 割を超えており、前回調査結果と比べると

その割合が増加している（図 3.2-21、図 3.2-22 参照）。

図 3.2-21 インシデント発生時の情報開示

図 3.2-22 インシデント発生時の情報開示（前回調査）

64.6

21.9

18.8

13.5

0.0

66.4

25.9

46.2

2.8

0.0

56.7

18.3

50.0

4.3

0.0

0 % 20 % 40 % 60 % 80 %

開示義務がない

投資家等のステークホルダーからの開示要請がない

自社のセキュリティやリスクの情報を開示したくない

開示したいと考えているが、そのためのリソース（人

員・予算・時間等）が不足している

その他

日本(N=96)

米国(N=143)

欧州(N=164)

45.8

62.6

52.7

23.3

31.5

35.6

19.7

3.2

8.6

11.1

2.7

3.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

インシデント発生時に対外的に情報を公開する基準を定めているインシデント発生時に対外的に情報を公開する基準を現在検討中であるインシデント発生時に対外的に情報を公開する基準を定めていないわからない

47.1

43.8

39.1

23.6

31.8

35.9

16.3

14.0

18.1

12.9

10.4

6.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

インシデント発生時に対外的に情報を公開する基準を定めている

インシデント発生時に対外的に情報を公開する基準を現在検討中である

インシデント発生時に対外的に情報を公開する基準を定めていない

わからない

33

インシデント発生時の情報開示について CISO 等設置状況で比較すると、「インシデント発生

時に対外的に情報を公開する基準を定めている」との回答は、日米では CISO 等を設置している

企業ほど高い。また、日欧の「CISO 等を設置していない」企業では、「インシデント発生時に対

外的に情報を公開する基準を定めていない」との回答割合が高い。（図 3.2-23 参照）

図 3.2-23 インシデント発生時の情報開示（CISO等設置状況別）

CISO等の役割23

本節では文献調査で整理した CISO 等に求められる役割をもとに、（1）現在の CISO 等が有する

役割（2）現在重要視されている CISO 等の役割（3）今後重要視される CISO 等の役割、の 3 点の

アンケート結果を示す。さらに、（2）と（3）の結果を比較し、今後どのような役割が CISO 等に

求められるかを検証した。

現在の CISO等が有する役割

回答者の企業の現在の CISO 等が有する役割について確認したところ、日米欧ともに CISO 等に

求められる「技術」に関する役割と同様、「ガバナンス」と「リスク管理」に関する役割をあげる

回答割合が高い。「技術」に関する役割は、日米欧ともに「セキュリティ技術分析・評価」をあげ

る割合が高いが、日本は米欧に比べ、「CSIRT・SOC の管理・監督」と「IT 導入におけるセキュリ

ティ上の助言」の役割をあげる回答割合が低い。また、「事業貢献」に関する役割については、日

米欧ともに他の役割と比べると現在の CISO 等が有する役割としてあげる回答割合は低い（図

3.2-24 参照）。

23 本節のアンケート設問は、CISO 等設置状況について「専任の CISO 等を設置している」「兼任の CISO 等を

設置している」を選択した回答が回答対象である。

83.4

46.6

16.0

67.5

48.3

42.1

63.7

30.4

30.0

11.8

34.7

25.1

28.2

43.7

47.4

30.9

57.6

35.7

2.8

13.0

47.0

2.4

5.7

0.0

4.5

9.8

25.7

1.9

5.7

11.9

1.9

2.3

10.5

0.8

2.2

8.6

0% 20% 40% 60% 80% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

インシデント発生時に対外的に情報を公開する基準を定めているインシデント発生時に対外的に情報を公開する基準を現在検討中であるインシデント発生時に対外的に情報を公開する基準を定めていないわからない

34

図 3.2-24 現在の CISO等が有する役割

現在重要視されている CISO等の役割

現在の CISO 等が有する役割のうち、CISO 等の役割として重要視されているものを 3 つまで選

択してもらったところ、日米欧ともに「セキュリティ技術分析・評価」・「セキュリティ目標・計

画・予算の策定・評価」・「リスク分析・評価」を重要視するとの回答割合が高い。また、CISO 等

の特徴的な役割である「経営層との橋渡し」や、事業とリスクとのバランスを図る「事業目標と

の整合」は、日米欧いずれにおいても相対的に回答割合が低い。

米国では「CSIRT・SOC の管理・監督」を重要視する回答割合が高く、日本は「IT 導入におけ

るセキュリティ上の助言」を重要視するとの回答が米欧に比べ低く、欧州では「リスク分析・評

価」を重要視する回答割合が高い（図 3.2-25 参照）。

64.9

39.1

32.1

64.5

42.7

41.2

57.1

47.8

40.8

36.8

29.2

27.3

1.1

4.2

76.7

56.4

49.0

57.4

44.4

46.6

62.4

55.6

40.4

41.2

35.5

27.5

0.4

0.4

68.3

48.1

51.2

58.9

50.3

48.1

69.0

56.2

46.1

43.8

36.2

31.9

0.4

2.2

0 % 20 % 40 % 60 % 80 % 100 %

セキュリティ技術分析・評価

CSIRT・SOCの管理・監督

IT導入におけるセキュリティ上の助言

セキュリティ目標・計画・予算の策定・評価

経営層との橋渡し

セキュリティ意識の醸成

リスク分析・評価

セキュリティ対策の推進

法令遵守・監査対応

事業目標との整合

事業継続の支援（BCP（Business Continuity

Plan，事業継続計画））

外部組織との連絡・調整・発信

該当する役割はない

わからない

技術

ガバナンス

リスク管理

事業貢献

その他

日本(N=473)

米国(N=502)

欧州(N=445)

35

図 3.2-25 現在重要視されている CISO等の役割

今後重要視される CISO等の役割（将来）

回答者企業の今後の CISO 等の役割として重要視されると考えられる役割を 3 つまで選択して

もらったところ、現在の CISO 等の役割として重要視されるものと回答の傾向に大きな変化はな

い。特に、日本は今後重要視される CISO 等の役割に関しても「IT 導入におけるセキュリティ上

の助言」をあげる割合が米欧に比べ低い（図 3.2-26 参照）。

52.0

16.3

6.0

40.8

17.9

10.3

35.5

24.3

13.6

14.3

7.1

2.5

59.2

25.3

17.1

32.3

13.5

8.6

34.9

21.5

7.4

14.1

7.6

2.8

51.7

20.8

14.5

30.0

17.3

12.2

43.9

20.1

11.3

15.7

7.9

3.5

0 % 20 % 40 % 60 % 80 %

セキュリティ技術分析・評価

CSIRT・SOCの管理・監督

IT導入におけるセキュリティ上の助言

セキュリティ目標・計画・予算の策定・評価

経営層との橋渡し

セキュリティ意識の醸成

リスク分析・評価

セキュリティ対策の推進

法令遵守・監査対応

事業目標との整合

事業継続の支援（BCP（Business Continuity Plan，事

業継続計画））

外部組織との連絡・調整・発信

技術

ガバナンス

リスク管理

事業貢献

日本(N=448)

米国(N=498)

欧州(N=433)

36

図 3.2-26 今後重要視される CISO等の役割（将来）

CISO等の役割に関する現在と将来の比較

CISO 等の各役割について、図 3.2-25 と図 3.2-26 の結果をもとに、今後重要視される CISO 等

の役割から現在重要視されている CISO 等の役割の差分をとったものが表 3.2-1 である。この表

で、プラスの値のセルは将来重要性が高まると考えられ、マイナスの値のセルは将来重要性が低

下すると捉えられていると解釈できる。

比較結果を確認すると、日米欧ともに、「CSIRT・SOC の管理・監督」、「セキュリティ目標・計

画・予算の策定・評価」の役割は、現在より将来のほうが重要性が高まると考えられている。ま

た、「事業貢献」に関する役割は、日米欧ともに将来重要になるとの回答割合が高まっており、そ

の中でも「事業目標との整合」の回答割合は日米で 5 ポイント以上上昇しており、今後重要性が

高まると捉えられている。日本では「経営層との橋渡し」は、将来も重要性が高まると認識され

ていない。

「ガバナンス」と「事業貢献」に関する役割が今後重要になるとの回答傾向から、今後の CISO

49.0

20.1

4.4

45.0

18.2

13.5

39.3

22.8

14.2

21.8

10.4

5.1

51.0

29.1

17.1

42.2

17.7

9.2

40.8

24.1

8.6

21.3

11.0

4.6

52.8

24.3

16.4

38.2

20.7

11.7

42.7

24.5

13.3

19.6

11.0

3.4

0 % 20 % 40 % 60 %

セキュリティ技術分析・評価

CSIRT・SOCの管理・監督

IT導入におけるセキュリティ上の助言

セキュリティ目標・計画・予算の策定・評価

経営層との橋渡し

セキュリティ意識の醸成

リスク分析・評価

セキュリティ対策の推進

法令遵守・監査対応

事業目標との整合

事業継続の支援（BCP（Business Continuity Plan，

事業継続計画））

外部組織との連絡・調整・発信

技術

ガバナンス

リスク管理

事業貢献 日本(N=473)

米国(N=502)

欧州(N=445)

37

等には、技術だけではなく「ガバナンス」や「事業貢献」といったマネジメントに関する役割が

求められると考えられる。

表 3.2-1 重要視される CISOの役割（現在と将来の比較）

※黄色のセルは差が 5ポイント以上、水色のセルは差が 3ポイント以上 5ポイント未満

CISO等に求めるスキル・経験24

CISO等に求めるスキル・経験

CISO 等に求められるスキル・経験は、日米欧ともに「コミュニケーションスキル（経営層や現

場、ステークホルダー等）」や「ICT スキル（セキュリティ技術や ICT に関する知識等）」、「リー

ダーシップ（プロジェクトマネジメントスキル）」等の回答割合が高く、ICT スキル以外は CISO

等特有ではなくマネジメント層に共通して求められるスキルがあげられている。

また、米欧では日本に比べ「自社事業への理解」「実務経験」を CISO 等に求められるスキル・

経験としてあげる回答割合がやや高い。特に「自社事業への理解」は今後の CISO 等の役割として

重要視される「事業貢献」の役割を担う上で必要な能力であると考えられる（図 3.2-27 参照）。

24本節のアンケート設問は、CISO 等設置状況について「専任の CISO 等を設置している」「兼任の CISO 等を設

置している」を選択した回答が回答対象である。

日本 米国 欧州

技術

セキュリティ技術分析・評価 -3.0 -8.2 1.1

CSIRT・SOCの管理・監督 3.8 3.8 3.5

IT導入におけるセキュリティ上の助言 -1.6 0.1 1.9

ガバナンス

セキュリティ目標・計画・予算の策定・評価 4.2 9.9 8.2

経営層との橋渡し 0.3 4.3 3.4

セキュリティ意識の醸成 3.3 0.5 -0.6

リスク管理

リスク分析・評価 3.8 5.9 -1.2

セキュリティ対策の推進 -1.5 2.6 4.4

法令遵守・監査対応 0.5 1.1 1.9

事業貢献

事業目標との整合 7.5 7.3 3.8

事業継続の支援（BCP（Business Continuity Plan，事業継続計画））

3.2 3.3 3.2

外部組織との連絡・調整・発信 2.6 1.8 -0.1

38

図 3.2-27 CISO等に求めるスキル・経験

セキュリティ投資評価

セキュリティ投資評価実施状況

セキュリティ投資評価について、米欧では「定量的・定性的評価ともに実施している」との割

合は約 50％で、日本は 25.6％となっている。また、日本は「評価を実施していない」との回答が

26.9％で米欧と比べると高く、セキュリティ投資評価の未実施割合が高い。また、前回調査と比較

すると、欧州は傾向に大きな変化はないが、米国は「評価を実施していない」の回答割合が低下

し、「定量的評価を実施している」の割合が増加している（図 3.2-28、図 3.2-29 参照）。

図 3.2-28 セキュリティ投資評価実施状況

51.6

34.9

49.7

36.4

25.4

14.2

17.1

9.7

0.0

2.3

57.6

32.1

47.4

40.2

29.1

21.5

22.3

11.2

0.0

0.4

49.0

23.4

62.2

29.4

23.6

26.3

29.7

14.6

0.0

1.3

0 % 20 % 40 % 60 % 80 %

コミュニケーションスキル（経営層や現場、ステー

クホルダー等）

プレゼンテーションスキル（わかりやすい資料作

成）

ICTスキル（セキュリティ技術やICTに関する知識

等）

リーダーシップ（プロジェクトマネジメントスキル）

ビジネススキル（経営や会計、リソース管理、リス

ク分析等の知識）

自社事業への理解

実務経験（CISO等やセキュリティ関連組織のマ

ネージャとしての経験）

インシデント対応経験

その他

わからない

日本(N=473)

米国(N=502)

欧州(N=445)

25.4

28.8

12.2

22.1

20.9

31.9

25.6

48.4

50.2

26.9

1.9

5.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

定量的評価を実施している 定性的評価を実施している

定量的・定性的評価ともに実施している 評価を実施していない

39

図 3.2-29 セキュリティ投資評価実施状況（前回調査）

セキュリティ投資評価についてCISO等設置状況別にみると、CISO等を設置している企業では、

定量的または定性的評価を実施しているとの回答は、日本では 8 割以上、米欧では 9 割以上とな

っている。CISO 等を設置していない企業での実施状況は、米欧は 8 割以上が定量的または定性的

評価を実施しているが、日本は約半数の企業が「評価を実施していない」となっている。（図 3.2-30

参照）

図 3.2-30 セキュリティ投資評価（CISO等設置状況別）

セキュリティ投資評価の観点

定量的または定性的投資評価を実施しているとの回答に対して、セキュリティ投資評価の観点

を確認したところ、日米欧ともに「セキュリティ対策導入による事業への影響度の評価」・「セキ

ュリティリスク低減効果の評価」・「投資額とインシデント発生時の想定被害額との比較」をあげ

る割合が高い。米国では、「企業・ブランド価値の向上」の回答が 50.3％で、日欧に比べセキュリ

ティ投資評価の観点としてあげる回答割合が高い（図 3.2-31 参照）。

20.1

14.5

13.0

18.2

19.2

29.1

33.7

50.5

48.7

28.1

15.7

9.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=588)

米国(N=598)

欧州(N=540)

定量的評価を実施している 定性的評価を実施している

定量的・定性的評価ともに実施している 評価を実施していない

48.3

19.5

14.6

32.0

19.5

0.0

14.4

8.7

4.3

15.2

33.6

18.7

18.6

34.5

10.5

28.9

41.3

37.1

26.1

31.7

16.4

48.0

44.8

84.2

53.0

45.7

44.3

10.4

15.3

50.2

1.4

1.1

5.3

3.7

4.3

14.3

0% 20% 40% 60% 80% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

定量的評価を実施している 定性的評価を実施している

定量的・定性的評価ともに実施している 評価を実施していない

40

図 3.2-31 セキュリティ投資評価の観点

被害額推定・リスク分析

被害額推定

ウイルス感染やサイバー攻撃（不正アクセス、DoS 攻撃、標的型攻撃等）が発生した場合の被

害額（逸失利益や対策費用等を含む）推定の実施状況を確認したところ、「行っている」との回答

は、日本は 50.9％、米国は 79.3％、欧州は 62.7％となっており、米欧の実施割合が高い（図 3.2-32

参照）。

図 3.2-32 ウイルス感染・サイバー攻撃発生時の被害額推定

同様の設問について CISO 等の設置状況別で比較すると、日米欧ともに CISO 等を設置している

企業のほうが被害額推定を「行っている」との回答割合が高く、特に「専任の CISO 等を設置して

いる」企業ほどその割合は高い。（図 3.2-33 参照）。

54.0

64.7

54.2

28.1

19.4

0.0

6.3

53.8

68.9

60.7

50.3

19.7

0.2

0.4

40.9

62.3

62.5

33.9

14.3

0.0

2.8

0 % 20 % 40 % 60 % 80 %

投資額とインシデント発生時の想定被害額との比較

セキュリティ対策導入による事業への影響度の評価

セキュリティリスク低減効果の評価

企業・ブランド価値の向上

事業部門への聞き取り調査

その他

わからない

日本(N=552)

米国(N=517)

欧州(N=496)

50.9

79.3

62.7

36.3

15.9

27.4

12.8

4.7

9.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

行っている 行っていない わからない

41

図 3.2-33 ウイルス感染・サイバー攻撃発生時の被害額推定（CISO等設置状況別）

リスク分析実施状況

情報セキュリティ上のリスク（情報漏えい、サイバー攻撃等によるシステム停止等）をリスク

分析の対象とした分析評価の実施状況について、「情報セキュリティを対象に入れたリスク分析を

実施している」との回答は、米国が 8 割程度と日欧に比べて高い。リスク分析の実施状況は米欧

は 9 割を超えているが、日本は 7 割程度となっている（図 3.2-34 参照）。

図 3.2-34 リスク分析実施状況

同様の設問について CISO 等の設置状況別に比較すると、日本は CISO 等を設置している企業の

ほうがリスク分析を実施している（「情報セキュリティを対象に入れたリスク分析を実施している」

と「リスク分析を実施しているが、情報セキュリティは対象に入れていない」の合計）との回答

割合が高いが、米欧は CISO 等の設置有無による差はあまりない（図 3.2-35 参照）。

84.8

55.3

21.5

85.1

63.2

47.4

69.7

58.7

41.4

10.0

33.6

70.3

11.1

29.9

47.4

22.1

31.5

50.0

5.2

11.1

8.2

3.9

6.9

5.3

8.2

9.8

8.6

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

行っている 行っていない わからない

55.1

80.8

65.6

16.8

16.7

26.0

18.5

1.5

4.0

9.5

0.9

4.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

情報セキュリティを対象に入れたリスク分析を実施している

リスク分析を実施しているが、情報セキュリティは対象に入れていない

リスク分析は実施していない

わからない

42

図 3.2-35 リスク分析実施状況（CISO等設置状況別）

情報セキュリティの体制

セキュリティ対応体制

情報セキュリティ対策の対応体制について、「専門部署（担当者）がある」との回答は米国が 7

割弱、日欧は 5 割前後で、米国のほうが専門部署（担当者）の整備が進んでいる。（図 3.2-36 参

照）。

図 3.2-36 セキュリティ対応体制

セキュリティ対応体制についてCISO等の設置状況別に比較すると、日米欧ともに「専任の CISO

等を設置している」企業では、「専門部署（担当者）がある」との回答割合が高い。特に、日欧の

「CISO 等を設置していない企業」では、「組織的には行っていない（各自の対応）」との回答が 2

割以上となっている（図 3.2-37 参照）。

86.7

57.3

29.2

86.5

56.3

73.7

73.1

50.0

55.7

6.6

26.3

18.7

11.8

39.1

21.1

21.5

40.2

31.4

3.8

8.0

47.01.0

3.4

5.3

2.8

3.3

8.6

2.8

8.4

5.0

0.7

1.1

0.0

2.5

6.5

4.3

0% 20% 40% 60% 80% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

情報セキュリティを対象に入れたリスク分析を実施している

リスク分析を実施しているが、情報セキュリティは対象に入れていない

リスク分析は実施していない

わからない

45.2

69.1

51.7

38.4

28.7

40.1

11.7

1.5

6.3

4.8

0.8

1.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

専門部署（担当者）がある 兼務だが担当者が任命されている

組織的には行っていない（各自の対応） わからない

43

図 3.2-37 セキュリティ対応体制（CISO等設置状況別）

セキュリティ人材の量的充足度・質的充足度

情報セキュリティ業務担当者の量的充足度について、日本は前回調査同様「やや不足している」

との回答割合が高いが、米欧は「十分である」との回答が 7 割を超えており、セキュリティ人材

の量的充足度について日本と米欧で大きな差がある（図 3.2-38、図 3.2-39 参照）。

図 3.2-38 情報セキュリティ業務担当者の量的充足度

80.6

36.6

23.7

76.1

46.0

31.6

65.4

26.1

18.6

17.1

56.1

44.3

21.9

49.4

68.4

30.6

59.8

61.4

0.9

6.1

28.8

1.4

2.3

0.0

2.8

8.7

20.0

1.4

1.1

3.2

0.5

2.3

0.0

1.1

5.4

0.0

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

専門部署（担当者）がある 兼務だが担当者が任命されている組織的には行っていない（各自の対応） わからない

34.4

75.9

71.3

44.9

19.9

22.3

13.4

3.3

3.9

7.4

1.0

2.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=719)

米国(N=523)

欧州(N=516)

十分である やや不足している 大幅に不足している わからない

44

図 3.2-39 情報セキュリティ業務担当者の量的充足度（前回調査）

情報セキュリティ業務担当者の量的充足度について回答者の役職別に比較すると、日本は CISO

等は「十分である」との回答が 6 割程度であるが、責任者・担当者は「やや不足している」・「大

幅に不足している」との回答が 6 割程度となっており、CISO 等は業務担当者の人員は足りている

と認識しているが、現場は不足していると考えている。米欧は役職に関係なく、「十分である」と

の回答が 7 割程度で、役職による業務担当者の量的充足度に対する認識にあまり差がない。（図

3.2-40 参照）。

図 3.2-40 情報セキュリティ業務担当者の量的充足度（役職別）

情報セキュリティ業務担当者の量的不足に関して、経済産業省が実施した Web アンケート調査

25では、4 割前後が何らかの不足感があるとしている。また、その理由として、「本業が忙しく、情

報セキュリティにまで人材が割けない」、「業務繁忙のため人材の増強が追い付いていない」があ

げられており、本業が忙しいため、企業内で情報セキュリティ分野の人材の拡充が十分進めるこ

とができない状況が推察される（図 3.2-41、図 3.2-42 参照）。

25 経済産業省「IT ベンチャー等によるイノベーション促進のための人材育成・確保モデル事業 ―事業報告書

第２部 今後の IT 人材需給推計モデル構築等 編―」(2016)

http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_fullreport.pdf

27.6

57.9

62.1

53.7

27.9

27.9

12.3

4.9

3.9

6.3

9.2

6.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=536)

米国(N=530)

欧州(N=491)

十分である やや不足している 大幅に不足している わからない

45

出所）経済産業省

図 3.2-41 情報セキュリティ対策関連業務を担当する人材の量的な不足感（経済産業省調査）

出所）経済産業省

図 3.2-42 量的不足の理由（経済産業省調査）

次に、情報セキュリティ業務担当者の質的充足度を確認すると、量的充足度と同様、日本は「や

や不足している」との割合が高いが、米欧は「十分である」との割合が高い。この傾向は前回調

査結果と大きく変わらない（図 3.2-43、図 3.2-44 参照）。

図 3.2-43 情報セキュリティ業務担当者の質的充足度

28.1

56.4

64.0

47.8

35.0

27.7

16.4

6.7

5.6

7.6

1.9

2.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=719)

米国(N=523)

欧州(N=516)

十分である やや不足している 大幅に不足している わからない

46

図 3.2-44 情報セキュリティ業務担当者の質的充足度（前回調査）

情報セキュリティ業務担当者の質的充足度について回答者の役職別に比較すると、日米欧とも

に量的充足度に比べ「やや不足している」「大幅に不足している」との回答割合が何れの役職にお

いても高い。また、欧州は質的充足度に対する認識について、役職による差があまりない。（図

3.2-45 参照）。

図 3.2-45 情報セキュリティ業務担当者の質的充足度（役職別）

前述の経済産業省調査においては、情報セキュリティ業務担当者の質的不足に関しても、量的

不足と同様の傾向が示されているが、その理由としては「業務繁忙のため教育やトレーニングを

行う余裕がない」が最も多く、組織の中で情報セキュリティ人材の育成が十分に行われていない

状況が伺える。

担当人員に不足しているスキル・能力

情報セキュリティ業務担当者の質的充足度について「やや不足している」「大幅に不足している」

を選択した回答について、情報セキュリティ業務担当者に現在不足していると考えられるスキル

を確認したところ、日米欧共通して「インシデント情報収集・分析スキル」をあげる割合が高く、

25.2

54.3

61.9

53.2

30.4

28.7

15.1

5.8

3.5

6.5

9.4

5.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=536)

米国(N=530)

欧州(N=491)

十分である やや不足している 大幅に不足している わからない

41.3

29.5

23.8

60.8

55.2

50.0

68.3

62.7

61.5

51.0

54.5

43.2

33.1

37.5

27.6

25.9

29.0

27.0

6.7

13.8

20.5

6.0

5.4

15.5

4.3

6.3

5.7

1.0

2.2

12.5

0.0

2.0

6.9

1.4

2.0

5.7

0% 20% 40% 60% 80% 100%

CISO（Chief Information Security Officer/最高情報セキュリティ

責任者）等(n=104)

情報システム/セキュリティ担当部門の責任者(n=224)

情報システム/セキュリティ担当部門の担当者(n=391)

CISO（Chief Information Security Officer/最高情報セキュリティ

責任者）等(n=166)

情報システム/セキュリティ担当部門の責任者(n=299)

情報システム/セキュリティ担当部門の担当者(n=58)

CISO（Chief Information Security Officer/最高情報セキュリティ

責任者）等(n=139)

情報システム/セキュリティ担当部門の責任者(n=255)

情報システム/セキュリティ担当部門の担当者(n=122)

日本

(n=7

19

)米国

(n=5

23

)欧州

(n=5

16

)

十分である やや不足している 大幅に不足している わからない

47

日米では「インシデント対応スキル」をあげる割合も高い。また、日本は「セキュリティ技術に

関する知識」が不足してるとの回答が 26.2%であるが、米欧は 1 割程度である。（図 3.2-46 参照）。

図 3.2-46 担当人員に不足しているスキル・能力

担当人員に不足しているスキル・能力について回答者の役職別に比較すると、日本の CISO 等

は責任者・担当者に比べ「社外・社内との調整スキル」が担当者に不足していると考えている。

一方、責任者・担当者は CISO 等に比べ「セキュリティに関連する法律や規制等の知識」・「セキュ

リティに関する技術」が不足していると考えており、CISO 等と責任者・担当者の間で、担当人員

に不足しているスキル・能力に対する認識に違いがある。また、「インシデント対応スキル」は、

日米は CISO 等と責任者が担当人員に不足しているスキルと考えているが、欧州は CISO 等と担当

者が不足していると考えている（図 3.2-47、図 3.2-48、図 3.2-49 参照）。

46.8

46.5

35.5

40.5

29.4

26.2

0.6

47.2

47.2

41.3

36.7

19.7

9.6

0.5

30.8

44.8

39.5

40.1

20.3

10.5

2.3

0 % 20 % 40 % 60 %

インシデント対応スキル

インシデント情報収集・分析スキル

社外・社内との調整スキル

リスク分析スキル

セキュリティに関連する法律や規制等の知識

セキュリティ技術に関する知識

その他

日本(N=462)

米国(N=218)

欧州(N=172)

48

図 3.2-47 担当人員に不足しているスキル・能力（日本・役職別）

図 3.2-48 担当人員に不足しているスキル・能力（米国・役職別）

55.0

53.3

46.7

41.7

15.0

10.0

0.0

51.6

51.6

32.7

37.9

32.0

26.8

0.0

41.8

41.8

34.5

41.8

31.3

29.7

1.2

0% 20% 40% 60% 80%

インシデント対応スキル

インシデント情報収集・分析スキル

社外・社内との調整スキル

リスク分析スキル

セキュリティに関連する法律や規制等の

知識

セキュリティ技術に関する知識

その他

CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等(n=60)

情報システム/セキュリティ担当部門の責任者(n=153)

情報システム/セキュリティ担当部門の担当者(n=249)

日本(n=462)

53.8

46.2

38.5

29.2

15.4

9.2

0.0

46.1

46.9

44.5

39.1

21.1

10.2

0.0

36.0

52.0

32.0

44.0

24.0

8.0

4.0

0% 20% 40% 60% 80%

インシデント対応スキル

インシデント情報収集・分析スキル

社外・社内との調整スキル

リスク分析スキル

セキュリティに関連する法律や規制等の

知識

セキュリティ技術に関する知識

その他

CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等(n=65)

情報システム/セキュリティ担当部門の責任者(n=128)

情報システム/セキュリティ担当部門の担当者(n=25)

米国(n=218)

49

図 3.2-49 担当人員に不足しているスキル・能力（欧州・役職別）

CSIRT等設置状況

CSIRT 等のインシデント対応組織の設置状況は、日本が 66.8％、米国は 90.1％、欧州は 78.0%

となっている。日本では、前回調査と比べて設置状況に大きな変化はない（図 3.2-50 参照）。

図 3.2-50 CSIRT等設置状況

38.1

47.6

35.7

35.7

21.4

16.7

2.4

24.4

44.4

38.9

48.9

23.3

10.0

1.1

37.5

42.5

45.0

25.0

12.5

5.0

5.0

0% 20% 40% 60% 80%

インシデント対応スキル

インシデント情報収集・分析スキル

社外・社内との調整スキル

リスク分析スキル

セキュリティに関連する法律や規制等の

知識

セキュリティ技術に関する知識

その他

CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等(n=42)

情報システム/セキュリティ担当部門の責任者(n=90)

情報システム/セキュリティ担当部門の担当者(n=40)

欧州(n=172)

50

CSIRT 等のインシデント対応組織の設置状況について CISO 等の設置状況別に比較すると、日

米欧ともに CISO 等を設置している組織では、「CSIRT を設置している」・「CSIRT という名称では

ないが、インシデント対応を担当する組織がある」との回答が CISO 等を設置していない企業に

比べ高く、CISO 等設置企業ではインシデント対応組織の整備が進んでいる（図 3.2-51 参照）。

図 3.2-51 CSIRT等設置状況（CISO等設置状況別）

CSIRT 等の有効性の全体評価は、「期待したレベルを満たしている」とする回答割合が、日本

では 18.4%、米国は 60.8%、欧州は 45.4%となっており、日本の満足感の低さが目立つ（図 3.2-52

参照）。前回調査でも日本は 14.0%、米国は 45.3%、欧州は 48.8%であったことから、CSIRT 等の

評価について状況はほとんど変化していない。

図 3.2-52 CSIRT等の有効性の全体評価

55.0

16.4

3.7

62.7

34.5

10.5

41.4

20.7

8.6

37.0

64.1

31.1

29.6

54.0

52.6

45.9

55.4

30.0

8.1

19.5

65.3

7.7

11.5

36.8

12.7

23.9

61.4

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

専任のCISO等を設置している(n=211)

兼任のCISO等を設置している(n=262)

CISO等を設置していない(n=219)

専任のCISO等を設置している(n=415)

兼任のCISO等を設置している(n=87)

CISO等を設置していない(n=19)

専任のCISO等を設置している(n=353)

兼任のCISO等を設置している(n=92)

CISO等を設置していない(n=70)

日本

(n=6

92

)米国

(n=5

21

)欧州

(n=5

15

)

CSIRTを設置している

CSIRTという名称ではないが、インシデント対応を担当する組織がある

インシデント対応を担当する組織は決まっていない

51

CSIRT 等の全体評価に関連して、CSIRT 等の有効性を左右する要素として「能力・スキルの

ある人員の確保」を挙げる回答割合が、日米欧とも最多である。特に日本は欧米より 14 ポイン

ト多く、CSIRT 要員のスキルへの期待感が強いことが分かる（図 3.2-53）。

図 3.2-53 CSIRTの有効性を左右する要素

情報セキュリティ対策の課題

情報セキュリティ対策を進める上での課題認識

情報セキュリティ対策を進める上での課題点について、日本は「リスクの見える化が困難/不十

分」・「予算が不足している」・「経営層のリスク感度が低い」をあげる回答割合が高い。米欧では、

「情報セキュリティの取組が企業価値の向上につながると認識されていない」・「インシデント発

生に備えた準備が不十分」との回答が日本に比べやや高い（図 3.2-54 参照）。

52

図 3.2-54 情報セキュリティ対策を進める上での課題認識

重要インフラ業種の対策状況

本項では、情報セキュリティの取組み状況に関して、日本において政府が指定する「重要イン

フラ」業種の事業者とそれ以外の事業者との比較を行う。

「重要インフラ」業種の回答者

本調査において、「重要インフラ」業種 13 分野に該当する回答者の分布は次の通りである

（図 3.2-55 参照）。

図 3.2-55 重要インフラ業種に該当する回答者

30.9

24.4

33.9

34.6

16.8

20.1

15.9

12.5

13.2

4.9

4.9

1.7

27.1

28.1

27.5

32.4

24.9

19.0

23.7

14.6

13.5

3.8

8.7

2.7

20.7

19.0

27.9

27.9

20.3

17.1

21.9

12.2

11.8

4.4

15.8

2.7

0 % 20 % 40 %

経営層のリスク感度が低い

経営層にITやセキュリティの重要性を理解してもらえない

予算が不足している

リスクの見える化が困難/不十分

情報セキュリティの取組が企業価値の向上につながると

認識されていない

セキュリティ対策が場当たり的になっている

インシデント発生に備えた準備が不十分

経営とセキュリティの両方を理解している人材がいない

担当者の専門知識が不足している

CISOの能力が不十分である

委託先管理が困難である

その他

日本(N=755)

米国(N=527)

欧州(N=526)

53

「重要インフラ」業種における情報セキュリティに関する会議等の有無

経営層が主体的に、自社の情報セキュリティリスクや対策、投資計画を審議する会議等の有無

について、重要インフラ事業者と、重要インフラ業種に該当しない事業者とを比較した。「会議等

があり、情報セキュリティに関する意思決定の場として機能している」との回答割合は、重要イ

ンフラ事業者が 65.0%、それ以外の事業者が 50.1%となっており、重要インフラ事業者のほうが

15 ポイント程度上回っている（図 3.2-56 参照）。

図 3.2-56 情報セキュリティに関する会議等の有無

「重要インフラ」業種における自社拠点のセキュリティ対策把握状況

自社の国内拠点のセキュリティ対策の把握状況について、重要インフラ事業者と、重要インフ

ラ業種に該当しない事業者とを比較した。「状況を把握し、指示している」との回答は、重要イン

フラ事業者が 67.4%、それ以外の事業者が 62.3%となっている（図 3.2-57 参照）。

図 3.2-57 国内外拠点のセキュリティ対策把握状況

「重要インフラ」業種における被害額推定状況

ウイルス感染やサイバー攻撃（不正アクセス、DoS 攻撃、標的型攻撃等）が発生した場合の被

害額（逸失利益や対策費用等を含む）推定の実施状況について、重要インフラ事業者と、重要イ

54

ンフラ業種に該当しない事業者とを比較した。「行っている」との回答は、重要インフラ事業者が

65.0%、それ以外の事業者が 36.4%となっている（図 3.2-58 参照）。

図 3.2-58 ウイルス感染・サイバー攻撃発生時の被害額推定

「重要インフラ」業種におけるリスク分析実施状況

情報セキュリティ上のリスク（情報漏えい、サイバー攻撃等によるシステム停止等）をリスク

分析の対象とした分析評価の実施状況について、重要インフラ事業者と、重要インフラ業種に該

当しない事業者とを比較した。「情報セキュリティを対象に入れたリスク分析を実施している」と

の回答は、重要インフラ事業者が 64.8%、それ以外の事業者が 45.0%となっている（図 3.2-59 参

照）。

図 3.2-59 リスク分析実施状況

継続調査項目

本節で示すアンケート調査結果は、IPA「情報セキュリティ事象被害状況調査」及び前回調査か

ら継続的に実施している調査項目である。なお、一部調査項目では、選択肢の追加・修正を実施

している。

55

セキュリティ関連製品・ソリューション導入状況

日米欧ともに「ウイルス対策ソフト・サービス」の導入割合は 8 割を超えている。また、「SOC

サービス」は日本に比べ米欧の導入割合が高い（図 3.2-60 参照）。

図 3.2-60 セキュリティ関連製品・ソリューション導入状況

91.9

41.9

58.8

50.6

29.7

68.9

41.6

18.7

22.4

20.1

22.4

13.1

11.0

22.9

8.2

24.5

22.0

20.4

16.7

34.4

24.6

0.0

83.3

45.2

55.4

51.0

39.1

73.6

46.7

23.1

32.4

35.9

31.3

25.2

19.0

24.9

26.6

29.4

31.3

24.1

16.5

36.8

29.6

0.2

86.3

43.5

66.3

57.4

39.9

84.8

56.3

24.0

36.9

41.6

33.5

14.6

16.9

19.2

20.0

27.2

29.3

25.1

15.6

40.1

34.4

0.4

0 % 20 % 40 % 60 % 80 % 100 %

ウイルス対策ソフト・サービス

標的型攻撃対策ツール（サンドボックス）

ウェブ閲覧のフィルタリングソフトウエア

メールフィルタリングソフトウェア（誤送信防止対策製品、

スパムメール対策製品を含む）

情報漏えい対策（DLP）製品

ファイアウォール

VPN

IDS/IPS

アプリケーションファイアウォール（WAFを含む）

アイデンティティ管理／ログオン管理／アクセス許可製

品（SSOを含む）

ワンタイムパスワード、ICカード、USBキーによる個人認

証

生体認証（バイオメトリクス）

PKIシステムおよびそのコンポーネント（電子証明書の発

行、管理、証明サービスを提供するシステム）

ログ情報の統合・分析、システムのセキュリティ状態の

総合的な管理機能（SIEM）

SOC（Security Operation Center）サービス

クライアントPCの設定・状態・動作・ネットワーク接続等を

管理する製品（検疫ネットワークを含む）

モバイルセキュリティ管理（MDM）

デバイス制御製品（USB、スマートフォン等各種デバイス

の利用管理、書き込み制御機能）

シンクライアント

暗号化製品（ディスク、ファイル、メール等）

ソフトウエアライセンス管理／IT資産管理製品

その他

日本

(N=755)

米国

(N=527)

欧州

(N=526)

56

組織面・運用面の対策

「フロアや施設への入退出管理」・「機器や記録媒体の持込み・持出しの制限」・「一般ユーザア

カウントの管理ルールの策定」・「ハードディスク等の廃棄時の破砕／溶融」の実施割合は日本が

高い（図 3.2-61 参照）。

図 3.2-61 組織面・運用面の対策

64.8

57.2

62.8

43.0

34.7

39.5

51.8

45.3

18.8

21.9

21.5

26.6

43.4

27.9

41.2

23.8

20.3

20.8

23.4

0.0

50.7

41.4

53.1

48.2

41.9

40.8

49.0

25.8

33.2

28.8

29.0

37.4

31.7

26.6

40.2

34.7

21.6

25.2

18.6

0.6

48.9

40.3

49.6

49.2

39.4

40.1

55.1

34.0

28.1

24.9

27.6

33.3

41.4

24.0

41.6

29.8

20.7

24.1

22.2

1.0

0 % 20 % 40 % 60 % 80 %

フロアや施設への入退出管理

機器や記録媒体の持込み・持出しの制限

一般ユーザアカウントの管理ルールの策定（パスワー

ドの設定ルール、退職者管理等）

Webサイト管理者権限アカウントの管理ルールの策定

その他の管理者権限アカウントの管理ルールの策定

一般ユーザのプログラムインストールの制限（exeファイ

ルの実行禁止等）

重要なシステム・データのバックアップ

ハードディスク等の廃棄時の破砕／溶融

外部専門家によるセキュリティ監視サービスの活用

ログやファイル情報に基づくWebコンテンツの改ざん検

知

定期的なWebコンテンツのセキュリティ診断サービス

（脆弱性調査）の活用

IT資産構成や設定の文書化

セキュリティポリシーの策定

事業継続計画（BCP）の策定

情報セキュリティ監査（内部監査）

情報セキュリティ監査（外部監査）

情報セキュリティマネジメントシステム（ISMS）の認証取

得

セキュリティ人材の育成・採用

役員・従業員等に対するセキュリティ教育の実施

その他

日本

(N=755)

米国

(N=527)

欧州

(N=526)

57

ウイルス感染・サイバー攻撃・内部不正による被害発生状況

ウイルス感染被害の発生状況は 2 割前後から 3 割前後となっている。また、サイバー攻撃と内

部不正による被害の発生状況は日米欧で 1 割前後となっている（図 3.2-62、図 3.2-63、図 3.2-64

参照）。

図 3.2-62 被害発生状況（ウイルス感染）

図 3.2-63 被害発生状況（サイバー攻撃）

26.1

31.9

18.1

25.8

25.6

32.3

21.9

24.1

29.8

17.1

16.9

15.4

9.1

1.5

4.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した攻撃はあったが被害は発生していない発生していない（常時監視しており、確認できている）発生していない（監視していないが、被害の報告は受けていない）わからない

11.1

15.0

6.7

24.2

30.7

29.3

27.8

30.7

36.7

25.6

21.1

21.9

11.3

2.5

5.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した攻撃はあったが被害は発生していない発生していない（常時監視しており、確認できている）発生していない（監視していないが、被害の報告は受けていない）わからない

58

図 3.2-64 被害発生状況（内部不正）

ウイルス感染経路

ウイルス感染経路は日米欧ともに「電子メール」の割合が高く、特に日本ではその割合が 8 割

を超えている。また、日本では「インターネット接続（ホームページ閲覧など）」をあげる割合が

高い（図 3.2-65 参照）。

図 3.2-65 ウイルス感染経路

8.6

11.8

6.8

9.0

19.2

16.3

31.8

35.7

38.8

35.2

28.1

28.3

15.4

5.3

9.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した攻撃はあったが被害は発生していない発生していない（常時監視しており、確認できている）発生していない（監視していないが、被害の報告は受けていない）わからない

85.2

65.6

37.5

11.0

30.6

14.3

0.0

0.5

67.7

46.3

44.7

32.0

33.0

11.3

0.0

1.0

61.2

39.6

45.0

21.5

26.9

14.2

0.0

2.3

0 % 20 % 40 % 60 % 80 % 100 %

電子メール

インターネット接続（ホームページ閲覧など）

自らダウンロードしたファイル

P2P(Peer to Peer）などのファイル共有ソフト

USBメモリ等の外部記録媒体

持ち込みクライアント（パソコン）

その他

わからない

日本

(N=392)

米国

(N=300)

欧州

(N=260)

59

攻撃手法

日米欧ともに「脆弱性（セキュリティパッチの未適用）を突かれたことによる不正アクセス」

をあげる割合が高い。米国では、「ID・パスワードをだまし取られてユーザになりすまされたこと

による不正アクセス」・「SQL インジェクション」の割合が高い（図 3.2-66 参照）。

図 3.2-66 攻撃手法

3.3.アンケート結果のまとめ

日米欧のアンケート調査結果から得られた知見について以下にまとめる。

日本企業は経営層の関与の弱さが課題

日米欧の CISO 等の設置状況（専任・兼任含む）は、日本は 6 割程度であるが、米国は 9 割以

上、欧州は 8 割以上で設置されており、米欧のほうが CISO 等の設置が進んでいる。また、米欧は

専任の CISO 等の割合が高いが、日本は兼任の CISO 等の割合が高い。

経営層または上司から情報セキュリティが経営上のリスクの 1 つであるとの説明を受けたかと

いう設問では、米欧は 8 割以上が説明を受けたと回答しているが、日本は 6 割程度となっている。

特に日本の CISO 等を設置していない企業では、6 割程度が説明を受けていないと回答しており、

日本では情報セキュリティが経営上のリスクであるとの認識が、情報セキュリティの担当部門の

中で十分共有されていない可能性がある。一方で、セキュリティ投資に対する考え方について、

経営層と現場の認識の差に関しては、日米欧で「一致している」との回答が 5、6 割程度で大きな

差はない。ただし、日本は「わからない」と回答する割合が高いことから、投資に対する考え方

を十分理解しておらず、認識の差があるか否かまでを判断できていない可能性がある。これらの

ことから日本では、経営層と現場の間でセキュリティ対策を進める上での認識共有が十分おこな

われていない可能性がある。

情報セキュリティに関する会議体に関しては、日本では 8 割以上、米欧では 9 割以上で設置が

34.8

51.7

25.8

34.1

29.6

1.1

6.4

50.2

41.1

38.6

32.4

18.7

0.8

2.9

29.1

43.9

20.1

35.4

18.0

1.1

4.8

0 % 20 % 40 % 60 %

ID・パスワードをだまし取られてユーザになりす

まされたことによる不正アクセス

脆弱性（セキュリティパッチの未適用）を突かれ

たことによる不正アクセス

SQLインジェクション

DoS（DDoS）攻撃

標的型攻撃

その他

手口はわからない

日本

(N=267)米国

(N=241)欧州

(N=189)

60

進んでいる。その会議体が情報セキュリティの意思決定の場として機能しているとの割合は、日

本は 6 割未満であるが、米国は 8 割以上、欧州は 7 割以上となっている。米欧で情報セキュリテ

ィに関する会議体の整備は進んでいるが、日本では会議体が整備されていない割合が高く、経営

層が情報セキュリティに関して積極的に関与していない可能性がある。

以上のことから、日米欧を比較すると米欧は日本に比べ経営層が関与する体制の整備が進んで

いる。日本も体制等の整備は進められているが、経営層と現場の認識共有や経営層が関与する体

制の整備等の取組が今後の課題になると考えられる。

海外自社拠点・委託先の状況把握に改善の余地

自社の国内外拠点のセキュリティ対策の把握状況は、日米欧ともに海外拠点に比べ国内拠点の

ほうが状況を把握できている。また、委託先（業務委託先及び物品調達先）のセキュリティ対策

の確認状況に関しては、日米欧ともにある程度は確認できているが、自社拠点に比べると十分確

認はできていない。

自社拠点・委託先のセキュリティ対策状況の把握方法としては、日米では拠点担当者や委託先

による自主点検の割合が高く、欧州では監査を実施している割合が高い。

現状、自社拠点や委託先の対策状況はある程度把握できているものの、継続的に自社拠点・委

託先の対策状況の把握を進めることが今後も重要になると考えられる。

情報開示基準の検討が必要

平時の情報開示（情報セキュリティポリシー・情報セキュリティ上のリスク）は日米欧ともに

取組が進められており、CISO 等を設置している企業ほど平時の情報開示が進められている。前回

の調査結果と比較すると、米欧では「情報セキュリティポリシー・情報セキュリティ上のリスク

ともに公表している」割合が増加しており、積極的な情報開示が進められていると考えられる。

また、情報開示を実施しない理由を確認すると、日米欧ともに「開示義務がない」を理由にあ

げているが、米欧では「情報開示により、攻撃を受ける可能性が高まるから」をあげる割合が高

い。米欧では積極的な情報開示が進められている一方、自社のセキュリティ情報を開示すること

によるデメリットを考慮した判断もおこなわれている。

インシデント発生時の情報開示基準については、日本に比べ米欧のほうが開示基準の策定や検

討が進んでおり、インシデント発生時の情報開示基準の検討が今後の日本の課題になる考えられ

る。

CISO等は技術とマネジメント両方の役割が重要

現在の CISO 等が有する役割については日米欧で大きな差はないが、日本は米欧に比べ「CSIRT・

SOC の管理・監督」と「IT 導入におけるセキュリティ上の助言」を役割として有していない CISO

等の割合が高い。特に「IT 導入におけるセキュリティ上の助言」は日本の CISO 等の役割として

重要性が低いと捉えられている。

また、現在及び今後の CISO 等に重要視される役割は日米で大きな差がなく、CISO 等に求めら

れる役割は日米欧で共通している。今後の CISO 等に求められる役割は、セキュリティに関する

61

技術的な役割だけではなく、「ガバナンス」や「事業貢献」といったマネジメントの役割が求めら

れている。CISO 等の特徴的な役割である「経営層との橋渡し」や、事業とリスクとのバランスを

図る「事業目標との整合」などが、今後より重視されるようになることが望まれる。また、日本

では「IT 導入におけるセキュリティ上の助言」が CISO 等の役割として重要視されていないが、

事業貢献の観点から考えると、CISO 等が事業部門の IT 導入について事業への負の影響を軽減し

つつ、IT 導入の推進を進めることが期待されると考えられる。

CISO 等に求められるスキル・経験に関しては、コミュニケーションスキルやプレゼンテーショ

ンスキルといったマネジメント層に共通的に求められるスキルが求められている。さらに、「自社

事業への理解」も求められており、事業貢献の役割を遂行する上では必要な能力と考えられる。

前回のヒアリング調査で、CISO 等には技術とマネジメントの両方の知識が求められるとの意見

があった。今回のアンケート調査でもこの傾向は確認されており、今後は技術の知識に加え、自

社事業を理解し、ガバナンスや事業貢献といったマネジメントに近い役割を担うことが CISO 等

に求められると考えられる。

投資評価・リスク分析の実施率は CISO等設置企業で高い

セキュリティ投資評価や被害額推定、リスク分析の実施状況は日本に比べ米欧のほうが実施が

進んでいる。また、CISO 等を設置している企業は、CISO 等を設置していない企業と比べ各種取

組を実施しており、CISO 等を設置している企業ほどセキュリティに関する評価・分析の取組が進

んでいる。

セキュリティ人材は質・量ともに不足

情報セキュリティ業務の担当者の充足度は、日本は米欧に比べ質・量ともに不足していると考

えている割合が高く、セキュリティ人材が不足していると考えられる。特に日本は、CISO 等や情

報システム/セキュリティ担当部門の責任者は人材が足りていると捉えているが、担当者は不足し

ていると捉えており、責任者レベルと現場で認識に差がある。認識の違いの背景には、日本は米

欧に比べ兼任の CISO 等の割合が高く、CISO の情報セキュリティ分野への従事割合が専任に比べ

低くなることから、現場の状況を十分理解していない可能性がある。一方米欧は専任の CISO の

割合が高く、現場と密にコミュニケーションをとることができるため、状況を理解していると考

えられる。

また、前回調査と比較すると日本に比べ米国のセキュリティ人材の量的充足度は大きく向上し

ている。セキュリティ人材は不足しているといわれているが、DHS の CHCO（Chief Human Capital

Officer：最高人的資本責任者）である Angela Bailey によると、セキュリティ人材の不足は神話で

あり、DHS がサイバーセキュリティ人材の募集をかけたところ 14,000 人の応募があり 2,000 人を

採用した26としており、米国ではセキュリティ人材の供給量が増加し、量的充足度が改善した可能

性がある。

セキュリティ対応体制や CSIRT 等の整備は日米欧で進められており、CISO 等を設置している

26 CIO.GOV, “How to Snag Talent to Fill Critical Cybersecurity Positions at Your Agency” (2016)

62

企業ほど体制の整備が進んでいる。

CSIRT等の有効性の評価は低いままで、変化がない

日本では設置した CSIRT 等の有効性の評価が低く、期待したレベルを満たしていると回答した

割合は 18.4%と欧米に比べて半分以下であり、この状況は前回調査時と変わらない。CSIRT 等の

有効性を左右する要素として最も重視されている項目は、能力ある要員の確保である。ところが、

情報セキュリティ業務担当者の質的充足度が十分であるとした回答割合は 28.1%と、これも欧米

に比べて半分以下である。

日本企業が、設置した CSIRT 等の有効性に対する評価を改善するには、CSIRT 等の業務担当者

の確保とそのスキル向上を図ることが、直接的に寄与すると考えられる。

重要インフラ業種の企業でも、経営層の関与は十分とは言えない

日本において、政府が指定する「重要インフラ」分野の事業者は、そうでない事業者に比べて

セキュリティへの取組みは進んでいる。しかし、経営層の情報セキュリティへの関与は 6 割～7 割

程度であり改善の余地は残っている。たとえば、経営層が情報セキュリティについて審議し、意

思決定する会議の設置率は 65.0%、国内拠点の情報セキュリティ対策を把握・指示している割合

は 67.4%であった。特に社会インフラを担う企業においては、経営層のいっそうの関与が期待さ

れる。

63

4.考察

本調査では、文献調査及びアンケート調査を通じて、国内外の企業経営者や CISO 等、情報シス

テム/セキュリティ担当部門の責任者・担当者における情報セキュリティへの認識や取組み等を把

握し、その現状や課題を明らかにした。

本章ではまとめとして、企業が抱える課題である、経営層と現場の間の溝、CISO 等への期待と

現実、海外拠点・委託先におけるセキュリティガバナンスの壁の 4 つに焦点を当て、考察をまと

める。

経営層と現場の間の深い溝を越えるために CISO等は機能すべき

企業においてセキュリティ推進を阻害する問題として、経営層と現場の認識の違いが挙げられ

る。認識に差があるのは、見える化ができていないというだけでなく、互いに相手の立場や知識

に理解がなく、コミュニケーションが難しいからとも考えられる。そのため、現場の苦労が経営

層には伝わらず、経営層の知りたいことが現場には説明できないという状況に陥るケースも少な

くない。

こうした認識の差は、ともすると建前と実態のギャップにつながり、やがては深刻なトラブル

の原因になりかねない。そこで、こうした課題の改善策として、情報セキュリティの取り組みに

責任を有する CISO 等を設置し、CISO 等が経営層の意向を現場に説明しつつ、現場の実情を経営

層に伝える橋渡し役を担うことで、認識のギャップを埋める方向が考えられる。

ただし、アンケート結果から、日本では、CISO 等の任命は進んでいる（60%超）にも関わらず、

経営層と現場の間でセキュリティ対策を進める上での認識が十分に共有できていないことから、

CISO 等がそうした橋渡し役を十分に果たせていないと考えられる。CISO 等の役割として「経営

層との橋渡し」は、その重要性が認知されていないことも明らかとなった。

CISO等が果たすべき本来の役割はブレーキではなくナビゲーターである

アンケート結果から、日本の CISO 等は、欧米のそれに比べ「IT 導入におけるセキュリティ上

の助言」という役割を有していないことが明らかになった。これは、CIO を中心にとりまとめら

れる、事業の効率化・高付加価値化を支える IT の計画において、リスク管理が重視されていない

状況を示しているとも解釈できる。言い換えると、セキュリティは単なる「ブレーキ」と捉えら

れていると考えられる。

しかし、事業の成否を左右しかねないリスクを適切にコントロールするためには、CISO 等が新

規事業の検討や IT 導入計画に際しセキュリティ上の助言を行うことは極めて重要である。さらに

言えば、事業活動における新たな要求に対応し、やりたいことを安全にできるようにする、いわ

ばビジネス推進の「水先案内人（ナビゲーター）」の役割こそ、これからの CISO 等が果たすべき

役割である。これは、前回調査において米国の CISO が「セキュリティは bussiness enabler である」

と指摘していたことや、内閣サイバーセキュリティセンターの普及啓発・人材育成専門調査会に

おいて、セキュリティの橋渡し人材の機能に「自社の経営戦略や事業そのものについての深い理

64

解」が挙げられていること27とも符合する。

ただし、アンケート結果からは、企業のセキュリティ関係者は「自社事業への理解」や「事業

目標との整合」を重視しておらず、企業のナビゲーターとしての役割の重要性にまだ気づいてい

ない現状が伺える。今後、こうした役割・スキルの重要性への認知が高まっていくことが期待さ

れる。

CISO等は、セキュリティ担当部門の実態を把握しているか

CISO 等の任命状況をみると、米欧と日本とでは大きな違いがあった。

まず CISO 等を任命している企業の割合をみると、米欧ではそれぞれ 95%、85%であるのに対し

て、日本は 63%弱と隔たりが大きい。さらに違うのは、CISO 等の専任・兼任の違いである。CISO

等を専任で任命している企業の割合は、米国で約 79%、欧州で約 67%とかなりの割合にのぼる。

これに対して日本では専任の割合は約 28%と、欧米の半数に満たない。この違いは、企業のセキ

ュリティへの取組み状況に影響を与えているようにみえる。例として、セキュリティ要員の量的

な充足度について比較する。

日本では、セキュリティ要員の量的な充足状況について、情報システム部門／セキュリティ担

当部門の責任者、担当者の半数以上が「やや不足している」「大幅に不足している」と回答してい

る。逆に CISO 等の回答は、「要員は十分である」が過半数を占めており、CISO 等とセキュリティ

の現場の認識の間に大きなギャップがある。米欧でも、CISO 等の多くが「要員は十分である」と

回答している点は日本と変わりないが、興味深いことは、情報システム部門／セキュリティ担当

部門の回答者の多くも、十分であると認識していることである。つまり、CISO 等とセキュリティ

の現場との間に、要員の充足度について認識のギャップがない。

CISO 等が、他の業務の傍らセキュリティの責任者を兼任している場合は、当然他の業務にも、

時間と力を割くことになる。セキュリティ担当部門がどんなセキュリティ対策に取組んでいてど

のくらいの業務量を抱えているのか、セキュリティ要員の数が十分か否か等の実態を、正確に把

握できないケースがあるのではないか。兼任の CISO が多い日本で、CISO 等と現場との認識に隔

たりが生まれる一因になっている可能性が示唆される。そのほかの取組においても、CISO が兼任

である場合のほうが、取組み実施率は低い回答結果になっている（経営層または上司からの説明、

被害額推定、リスク分析等の実施状況）。

ここで留意すべきは、経営的な立場のセキュリティへの取組みが十分に機能するかどうかであ

って、CISO 等が専任であるか兼任であるかは本質ではないということである。兼任であっても、

CISO 等が最高情報セキュリティ責任者の機能を果たせる状況であれば、問題はない。

CISO 等には IT やセキュリティに関する知識・スキルだけでなく、経営に関する知識・スキル

や、関連する分野、例えば法務、渉外・広報の知識やスキルを備えることが望まれている。しか

し、これらすべてに習熟した人材が、容易に見つかるケースは少ないだろう。そこで、一人の CISO

等にすべての知識・スキルを求めるのではなく、さまざまなスキルを持つ複数の人材を CISO 等

27 内閣サイバーセキュリティセンター「普及啓発・人材育成専門調査会」第 5 回会合資料 3「サイバーセキュリ

ティ人材育成プログラム（骨子案）」より引用

65

の指揮の下に組織し、いわば CISO チームとも呼ぶべき部署を設置するという方法を取る企業も

ある。この場合は、必ずしも CISO 等自身が専任である必要はないだろう。

海外拠点・委託先のセキュリティガバナンス確立には手間をかけ成熟度を高める取組が必要

日米欧ともに海外拠点や委託先（業務委託先及び物品調達先）におけるセキュリティ対策の確

認は、自国内の自社拠点に比べると十分ではない。海外拠点については、法制度や商慣習、文化

の違いによる特性があり、共通の基準・ルールを単純に適用できない点が問題となる。特に、EU

では、新たなプライバシー保護規制として、一般データ保護規則（GDPR: General Data Protection

Regulation）が 2018 年 5 月から適用される。違反すると、最大で全世界の年間売上高の 4%または

2,000 万ユーロのいずれか高い方という非常に高額な制裁金が科されるとされており、現地の従業

員や顧客等の個人データを取り扱う企業においてはその遵守が求められる。

このような中、海外企業の M＆A が増加すると、異文化の企業群を横断的にグリップするセキ

ュリティガバナンスの確立が極めて重要になる。リスクに対する認識の共有、統一基準と裁量の

バランス、セキュリティ対策や事故報告の徹底、見える化の実装など、手間をかけ成熟度を高め

る取組みが必要となる。

また、委託先については、発注元として対応の遵守を求めるだけでなく、発注元がイニシアチ

ブを取る形で委託先の教育・啓発活動に取り組み、底上げを図るケースも見られる。

66

5.データ集

5.1.属性情報

貴社の総従業員数（有給役員、正社員・正職員、準社員・準職員、アルバイト等を含む）につい

て、直近の会計年度の人数をお答えください。

図 5.1-1 従業員数

貴社におけるあなたの役職をお答えください。

図 5.1-1 役職

0.0

0.0

0.0

18.9

15.0

14.6

9.5

11.6

8.9

13.9

19.4

17.1

21.3

21.6

22.6

12.3

14.8

13.1

14.3

9.3

12.0

9.7

8.3

11.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

300名未満 300名～500名 501名～700名 701名～1，000名

1，001名～3，000名 3，001名～5，000名 5，001名～10，000名 10，001名以上

13.8

31.5

26.4

30.2

57.1

49.0

56.0

11.4

24.5

0.0

0.0

0.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

CISO（Chief Information Security Officer/最高情報セキュリティ責任者）等※

情報システム/セキュリティ担当部門の責任者

情報システム/セキュリティ担当部門の担当者

その他

67

貴社の主な業種（国際標準産業分類に基づく）をお選びください。

図 5.1-2 業種

貴社の総売上高について、直近の会計年度の金額をお答えください。

図 5.1-3 総売上高

1.1

0.6

1.0

0.1

0.6

1.1

6.1

14.4

5.1

23.4

15.0

15.8

2.4

2.3

1.1

0.1

0.2

0.4

13.2

19.7

18.8

4.0

2.8

7.8

8.3

0.9

4.6

7.3

8.0

8.4

1.6

1.3

0.8

4.8

9.9

8.2

1.1

1.5

4.4

1.6

0.4

0.4

0.7

0.8

0.6

4.2

3.4

4.8

2.1

2.3

6.1

14.0

2.7

4.2

3.8

13.3

6.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

農業、林業及び漁業鉱業及び採石業建設業製造業電気、ガス、蒸気及び空調供給業水供給、下水処理並びに廃棄物管理及び浄化活動情報通信業運輸・保管業卸売・小売業並びに自動車及びオートバイ修理業金融・保険業不動産業専門・科学・技術サービス業管理・支援サービス業宿泊・飲食サービス業芸術・娯楽及びレクリエーション教育保健衛生及び社会事業その他のサービス業その他

4.6

4.0

2.9

9.4

9.1

9.3

10.5

13.3

9.9

22.9

17.3

20.0

11.9

15.4

18.4

13.0

19.5

13.5

11.3

12.3

10.8

5.8

5.7

5.5

10.6

3.4

9.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

10億円未満 10億円～50億円未満 50億円～100億円未満

100億円～500億円未満 500億円～1,000億円未満 1,000億円～5,000億円未満

5,000億円～1兆円未満 1兆円以上 不明

68

5.2.IT・セキュリティ投資

問 1 貴社の直近の会計年度における IT 関連の投資額及びセキュリティ投資額（セキュリティ関

連製品やソリューションの導入等）について、概算でわかる範囲でお答えください。

図 5.2-1 IT 関連投資額

図 5.2-2 セキュリティ投資額

14.2

4.7

9.9

17.9

17.8

29.1

17.0

25.8

20.2

18.7

29.2

18.8

12.2

14.0

8.4

3.2

5.1

3.4

17.0

3.2

10.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

1千万円未満 1千万円～5千万円未満 5千万円～1億円未満

1億円～10億円未満 10億円～50億円未満 50億円以上

不明

27.9

5.7

19.0

22.0

20.3

27.0

14.3

26.9

16.3

11.3

27.5

18.6

5.4

12.3

5.9

0.7

4.0

1.9

18.4

3.2

11.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

1千万円未満 1千万円～5千万円未満 5千万円～1億円未満

1億円～10億円未満 10億円～50億円未満 50億円以上

不明

69

問 2(1)貴社ではセキュリティ投資に関して、その効果を評価していますか。

図 5.2-3 セキュリティ投資評価

問 2(2) (1)で選択肢 1・2･3･を選んだ方に伺います。貴社ではセキュリティ投資評価をどのよう

な観点で実施していますか。

図 5.2-4 セキュリティ投資評価の観点

25.4

28.8

12.2

22.1

20.9

31.9

25.6

48.4

50.2

26.9

1.9

5.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

定量的評価を実施している 定性的評価を実施している

定量的・定性的評価ともに実施している 評価を実施していない

54.0

64.7

54.2

28.1

19.4

0.0

6.3

53.8

68.9

60.7

50.3

19.7

0.2

0.4

40.9

62.3

62.5

33.9

14.3

0.0

2.8

0 % 20 % 40 % 60 % 80 %

投資額とインシデント発生時の想定被害額との比較

セキュリティ対策導入による事業への影響度の評価

セキュリティリスク低減効果の評価

企業・ブランド価値の向上

事業部門への聞き取り調査

その他

わからない

日本(N=552)

米国(N=517)

欧州(N=496)

70

5.3.経営層の認識

問 3 あなたは直近の 1 年間で、経営層または上司から、情報セキュリティが経営上のリスクの

1 つであるとの説明を受けたことがありますか。

図 5.3-1 経営層または上司からの説明状況

問 4. 貴社の経営層の情報セキュリティに対する関与について、お伺いします。経営層が主体的

に、自社の情報セキュリティリスクや対策、投資計画を審議する会議等について、当てはまるも

のをお選びください。

図 5.3-2 経営層の情報セキュリティに対する関与

66.5

92.8

84.2

33.5

7.2

15.8

0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

説明を受けた 説明を受けていない

57.7

83.3

72.4

24.4

15.6

24.3

17.9

1.1

3.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

会議等があり、情報セキュリティに関する意思決定の場として機能している

会議等があるが、情報セキュリティに関する意思決定の場ではない

経営層が、自社の情報セキュリティリスクや対策を審議する会議等がない

71

問 5. セキュリティ投資に関する考え方（投資の優先度、投資額等）について、経営層と情報セ

キュリティ担当部門または情報システム担当部門で認識に差があると考えますか。

図 5.3-3 セキュリティ投資に対する経営層と現場の認識の差

59.3

52.4

55.9

22.4

45.0

37.1

18.3

2.7

7.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

一致している 一致してない わからない

72

5.4.自社拠点・委託先のセキュリティ対策

問 6(1). 貴社では、貴社の国内外拠点（子会社等を含む）の情報セキュリティ対策状況を把握・

指示していますか。

図 5.4-1 自社拠点のセキュリティ対策状況把握（国内拠点）

図 5.4-2 自社拠点のセキュリティ対策状況把握（海外拠点）

64.9

75.1

74.9

16.4

15.4

12.5

5.6

5.1

4.9

4.6

2.1

2.1

1.3

1.3

2.5

7.2

0.9

3.0

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

状況を把握し、指示している 状況は把握しているが、指示はしていない

状況は把握していないが、指示はしている 状況を把握しておらず、指示もしていない

拠点なし わからない

27.4

44.0

51.3

10.7

22.6

14.8

4.6

11.8

6.3

7.0

4.4

3.6

42.0

13.9

18.3

8.2

3.4

5.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

状況を把握し、指示している 状況は把握しているが、指示はしていない

状況は把握していないが、指示はしている 状況を把握しておらず、指示もしていない

拠点なし わからない

73

問 6(2). 問 6 の(1)で選択肢 1･2 を選んだ方に伺います。貴社の国内外拠点（子会社等を含む）

の情報セキュリティ対策状況について、どのような方法で把握していますか。

図 5.4-3 自社拠点の対策状況の把握方法（国内拠点）

図 5.4-4 自社拠点の対策状況の把握方法（海外拠点）

70.7

59.3

37.0

1.1

3.7

66.2

44.4

32.5

1.0

0.2

45.9

55.0

35.9

0.4

1.7

0 % 20 % 40 % 60 % 80 %

拠点担当者に、自主点検の実施と報告を

依頼している

監査を実施している

規程や契約で対策の実施を要求している

その他

わからない

日本(N=614)

米国(N=477)

欧州(N=460)

70.5

54.5

33.0

0.3

3.1

55.3

46.7

30.8

1.1

1.1

43.7

52.3

37.4

0.9

2.3

0 % 20 % 40 % 60 % 80 %

拠点担当者に、自主点検の実施と報告を

依頼している

監査を実施している

規程や契約で対策の実施を要求している

その他

わからない

日本(N=288)

米国(N=351)

欧州(N=348)

74

問 7(1). 貴社では、貴社の業務委託先や物品調達先（以下「委託先等」という）の情報セキュリ

ティ対策状況を確認していますか。

図 5.4-5 委託先のセキュリティ対策状況把握（業務委託先）

図 5.4-6 委託先のセキュリティ対策状況把握（物品調達先）

31.9

65.1

53.2

42.4

23.7

31.7

7.8

8.2

7.6

5.6

0.8

2.9

4.6

1.3

1.7

7.7

0.9

2.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

十分確認できている ある程度確認できている

ほとんど確認できていない 確認していない

委託・調達していない わからない

24.0

42.9

44.1

35.6

34.0

30.6

13.2

11.8

11.6

9.3

5.7

4.2

7.0

4.2

5.1

10.9

1.5

4.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

十分確認できている ある程度確認できている

ほとんど確認できていない 確認していない

委託・調達していない わからない

75

問 7(2). 問 7 の(1)選択肢 1･2･3 を選んだ方に伺います。委託先等の情報セキュリティ対策状況

について、どのように確認していますか。

図 5.4-7 委託先の対策状況の確認方法（業務委託先）

図 5.4-8 委託先の対策状況の確認方法（物品調達先）

64.4

43.2

31.9

0.5

5.0

58.9

44.8

24.7

0.6

0.8

39.8

47.0

33.5

0.8

2.1

0 % 20 % 40 % 60 % 80 %

委託先等に、自主点検の実施と報告

を依頼している

委託先等の監査を実施している

契約で対策の実施を要求している

その他

わからない

日本(N=620)

米国(N=511)

欧州(N=487)

54.4

38.4

31.5

0.4

7.8

41.8

49.9

30.0

0.9

1.3

31.7

45.8

38.5

1.1

2.6

0 % 20 % 40 % 60 %

委託先等に、自主点検の実施と報告を

依頼している

委託先等の監査を実施している

契約で対策の実施を要求している

その他

わからない

日本(N=550)

米国(N=467)

欧州(N=454)

76

問 8. 貴社では委託先等の情報セキュリティ対策の実施を担保するために、どのような対策を実

施していますか。

図 5.4-9 委託先等の情報セキュリティ対策実施を担保するための対策

59.1

48.7

41.6

25.8

20.3

0.1

9.9

6.6

74.4

54.1

45.7

45.9

33.8

0.2

0.4

1.1

58.9

50.8

36.5

38.0

22.4

0.0

1.9

2.7

0 % 20 % 40 % 60 % 80 %

契約条項に情報セキュリティに関する要求事項を入れて

いる

契約条項にインシデント発生時の報告義務を入れている

委託先にチェックリスト等で対策状況の自主点検を依頼

し、提出してもらっている

委託先の監査を実施している

委託先のセキュリティ教育を実施している

その他

対策は実施していない

わからない

日本(N=755)

米国(N=527)

欧州(N=526)

77

5.5.平時及び緊急時の情報開示

問 9(1). 貴社では、貴社の情報セキュリティポリシーや情報セキュリティ上のリスクについて、

対外的に公表していますか。

図 5.5-1 情報セキュリティポリシー・情報セキュリティ上のリスク情報の開示

問 9(2). 問 9（1）で選択肢 4 を選んだ方に伺います。開示しない理由として当てはまるものを

全てお選びください。

図 5.5-2 非開示理由

40.7

60.0

39.7

28.9

22.2

27.6

4.6

8.2

14.3

19.6

8.0

14.8

6.2

1.7

3.6

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

情報セキュリティポリシー・情報セキュリティ上のリスクともに公表している情報セキュリティポリシーのみ公表している情報セキュリティ上のリスクのみ公表しているいずれも公表していないわからない

70.3

13.5

13.5

16.2

2.0

40.5

31.0

54.8

0.0

0.0

52.6

20.5

51.3

2.6

0.0

0 % 20 % 40 % 60 % 80 %

開示義務がない

投資家等のステークホルダーからの開示要

請がない

情報開示により、攻撃を受ける可能性が高

まるから

開示したいと考えているが、そのためのリ

ソース（人員・予算・時間等）が不足している

その他

日本(N=148)

米国(N=42)

欧州(N=78)

78

問 10.貴社では、インシデント発生時に対外的に情報を公開する基準を定めていますか。

図 5.5-3 インシデント発生時の情報公開基準の策定

45.8

62.6

52.7

23.3

31.5

35.6

19.7

3.2

8.6

11.1

2.7

3.2

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

インシデント発生時に対外的に情報を公開する基準を定めている

インシデント発生時に対外的に情報を公開する基準を現在検討中である

インシデント発生時に対外的に情報を公開する基準を定めていない

わからない

79

5.6.CISO等の設置状況・位置づけ

問 11. 貴社の組織全体の情報セキュリティ対策を統括する CISO（Chief Information Security

Officer, 最高情報セキュリティ責任者）または同等の責任者（以下「CISO 等」という）を任命し

ていますか。

図 5.6-1 CISO 等設置状況

問 12. 貴社ではいつから CISO 等を設置していますか。

図 5.6-2 CISO 等設置期間

27.9

78.7

67.1

34.7

16.5

17.5

29.0

3.6

13.3

8.3

1.1

2.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

専任のCISO等を設置している 兼任のCISO等を設置している

CISO等を設置していない わからない

8.5

7.6

5.6

23.5

34.3

41.1

27.3

35.1

31.2

34.2

21.7

19.6

6.6

1.4

2.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=473)

米国(N=502)

欧州(N=445)

1年以内 1年前から3年前 3年前から5年前 5年前以上 わからない

80

問 13. 貴社の CISO 等の位置づけとして当てはまるものを全てお選びください。

図 5.6-3 CISO 等の組織内の位置づけ

問 14. 貴社の現在の CISO 等が CISO 等になる直前の所属として当てはまるものをお選びくだ

さい。

図 5.6-4 CISO 等の前の所属組織

31.9

31.7

38.7

18.2

3.8

0.2

1.9

46.8

35.5

20.7

14.1

2.8

0.0

0.6

28.5

43.4

24.7

12.8

4.7

0.2

1.6

0 % 20 % 40 % 60 %

経営層

経営層直下

情報システム部門のトップ（非経営層）

情報セキュリティ部門のトップ（非経営層）

CSIRTのトップ（非経営層）

その他

わからない

日本(N=473)

米国(N=502)

欧州(N=445)

42.7

35.1

29.2

30.4

40.2

41.3

9.1

9.4

6.1

7.4

9.6

14.2

4.9

0.8

2.7

0.8

4.2

3.4

0.4

0.2

0.4

0.2

0.0

0.0

4.0

0.6

2.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=473)

米国(N=502)

欧州(N=445)

情報システム部門 情報セキュリティ部門

事業部門（製品・サービス提供部門） リスク管理部門

その他社内部門 社外からの採用（CISO等経験者）

社外からの採用（CISO等非経験者） その他

わからない

81

問 15. 貴社の CISO 等が管理責任を負う範囲として、当てはまるものを全てお選びください。

図 5.6-5 CISO 等の職務範囲

問 16. 貴社の CISO 等が、策定したセキュリティ戦略や計画、取組み状況等を報告する報告先

（CISO 等が報告義務を負う上位職）として、当てはまるものを全てお選びください。

図 5.6-6 CISO 等のレポートライン

84.4

62.2

29.8

0.4

1.7

68.5

64.7

36.7

0.0

0.4

58.2

63.8

45.4

0.0

0.9

0 % 20 % 40 % 60 % 80 % 100 %

社内情報システム

事業部門が保有する情報システム・制御システム

自社製品・サービスのセキュリティ品質の確保

その他

わからない

日本(N=473)

米国(N=502)

欧州(N=445)

49.0

62.4

34.7

13.1

0.6

3.4

50.4

56.4

29.9

7.2

0.2

0.6

37.1

55.3

30.6

10.6

0.2

2.0

0 % 20 % 40 % 60 % 80 %

CEO（Chief Executive Officer、最高経営責任者）

情報システム担当役員（CIO（Chief Information

Officer、最高情報責任者）等）

リスク管理担当役員（CSO（Chief Security Officer、

最高セキュリティ責任者）、CRO（Chief Risk

Officer、最高リスク管理責任者）等）

その他役員（CFO（Chief Financial Officer、最高財

務責任者）、CTO（Chief Technical Officer、最高技

術責任者）等）

その他

わからない

日本

(N=473)

米国

(N=502)

欧州

(N=445)

82

5.7.CISO等に求められる役割・スキル

問 17(1). 貴社の CISO 等の役割について、当てはまるものを全てお選びください。

図 5.7-1 CISO 等が有する現在の役割

64.9

64.5

57.1

36.8

39.1

42.7

47.8

29.2

32.1

41.2

40.8

27.3

1.1

4.2

76.7

57.4

62.4

41.2

56.4

44.4

55.6

35.5

49.0

46.6

40.4

27.5

0.4

0.4

68.3

58.9

69.0

43.8

48.1

50.3

56.2

36.2

51.2

48.1

46.1

31.9

0.4

2.2

0 % 20 % 40 % 60 % 80 % 100 %

セキュリティ技術分析・評価

セキュリティ目標・計画・予算の策定・評価

リスク分析・評価

事業目標との整合

CSIRT・SOCの管理・監督

経営層との橋渡し

セキュリティ対策の推進

事業継続の支援（BCP（Business Continuity Plan，事業継

続計画））

IT導入におけるセキュリティ上の助言

セキュリティ意識の醸成

法令遵守・監査対応

外部組織との連絡・調整・発信

該当する役割はない

わからない

日本(N=473)

米国(N=502)

欧州(N=445)

83

問 17(2). 前問で選択した貴社の現在の CISO 等の役割のうち、CISO 等の役割として重要視され

ているものを 3 つまで選択してください。

図 5.7-2 現在の CISO 等に求められる役割

52.0

40.8

35.5

14.3

16.3

17.9

24.3

7.1

6.0

10.3

13.6

2.5

59.2

32.3

34.9

14.1

25.3

13.5

21.5

7.6

17.1

8.6

7.4

2.8

51.7

30.0

43.9

15.7

20.8

17.3

20.1

7.9

14.5

12.2

11.3

3.5

0 % 20 % 40 % 60 % 80 %

セキュリティ技術分析・評価

セキュリティ目標・計画・予算の策定・評価

リスク分析・評価

事業目標との整合

CSIRT・SOCの管理・監督

経営層との橋渡し

セキュリティ対策の推進

事業継続の支援（BCP（Business Continuity Plan，

事業継続計画））

IT導入におけるセキュリティ上の助言

セキュリティ意識の醸成

法令遵守・監査対応

外部組織との連絡・調整・発信

日本(N=448)

米国(N=498)

欧州(N=433)

84

問 18. 貴社 CISO 等の役割について、今後の CISO 等の役割として重要視されると考えられる役

割は何ですか。重要視されると考えられる役割のうち上位 3 つをお選びください。

図 5.7-3 今後の CISO 等に求められる役割

49.0

45.0

39.3

21.8

20.1

18.2

22.8

10.4

4.4

13.5

14.2

5.1

51.0

42.2

40.8

21.3

29.1

17.7

24.1

11.0

17.1

9.2

8.6

4.6

52.8

38.2

42.7

19.6

24.3

20.7

24.5

11.0

16.4

11.7

13.3

3.4

0 % 20 % 40 % 60 %

セキュリティ技術分析・評価

セキュリティ目標・計画・予算の策定・評価

リスク分析・評価

事業目標との整合

CSIRT・SOCの管理・監督

経営層との橋渡し

セキュリティ対策の推進

事業継続の支援（BCP（Business Continuity

Plan，事業継続計画））

IT導入におけるセキュリティ上の助言

セキュリティ意識の醸成

法令遵守・監査対応

外部組織との連絡・調整・発信

日本(N=473)

米国(N=502)

欧州(N=445)

85

問 19. 貴社では CISO等の役職にどのようなスキル・経験が重要であると考えられていますか。

重視する能力を 3 つまでお選びください。

図 5.7-4 CISO 等に求めるスキル・経験

51.6

34.9

49.7

36.4

25.4

14.2

17.1

9.7

0.0

2.3

57.6

32.1

47.4

40.2

29.1

21.5

22.3

11.2

0.0

0.4

49.0

23.4

62.2

29.4

23.6

26.3

29.7

14.6

0.0

1.3

0 % 20 % 40 % 60 % 80 %

コミュニケーションスキル（経営層や現場、ステーク

ホルダー等）

プレゼンテーションスキル（わかりやすい資料作成）

ICTスキル（セキュリティ技術やICTに関する知識等）

リーダーシップ（プロジェクトマネジメントスキル）

ビジネススキル（経営や会計、リソース管理、リスク

分析等の知識）

自社事業への理解

実務経験（CISO等やセキュリティ関連組織のマネー

ジャとしての経験）

インシデント対応経験

その他

わからない

日本(N=473)

米国(N=502)

欧州(N=445)

86

5.8.被害推定

問 20(1). 貴社ではウイルス感染やサイバー攻撃（不正アクセス、DoS 攻撃、標的型攻撃等）が

発生した場合の被害額（逸失利益や対策費用等を含む）の推定を行っていますか。

図 5.8-1 ウイルス感染・サイバー攻撃発生時の被害額推定

問 20(2). (1)で選択肢 1 を選んだ方、被害額を推定する際に、どのような項目を考慮しています

か。

図 5.8-2 被害額推定の観点

50.9

79.3

62.7

36.3

15.9

27.4

12.8

4.7

9.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

行っている 行っていない わからない

80.2

53.9

49.0

43.2

29.9

25.8

0.0

63.9

47.1

52.2

40.4

34.0

22.5

0.0

62.1

52.1

47.0

37.0

34.8

17.3

0.3

0 % 20 % 40 % 60 % 80 % 100 %

システム遅延・停止による逸失利益

風評被害（レピュテーション低下）による逸失利益

緊急対応人員追加による人件費

セキュリティベンダーやコンサルタントへの外注費用

代替・追加機器の購入費用

取引先や顧客等に対する損害賠償費用

その他

日本(N=384)

米国(N=418)

欧州(N=330)

87

5.9.リスク分析

問 21(1). 貴社では、情報セキュリティ上のリスク（情報漏えい、サイバー攻撃等によるシステ

ム停止等）をリスク分析の対象とし、分析・評価を実施していますか。

図 5.9-1 リスク分析実施状況

問 21(2). (1)で選択肢 1 または 2 を選んだ方に伺います。リスク分析結果をどのように活用して

いますか。分析結果の活用方法として最も近いものをお選びください。

図 5.9-2 リスク分析結果の活用方策

55.1

80.8

65.6

16.8

16.7

26.0

18.5

1.5

4.0

9.5

0.9

4.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

情報セキュリティを対象に入れたリスク分析を実施している

リスク分析を実施しているが、情報セキュリティは対象に入れていない

リスク分析は実施していない

わからない

77.2

70.8

57.9

14.9

22.8

29.9

6.1

4.5

10.2

0.0

0.0

0.0

1.8

1.9

2.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=543)

米国(N=514)

欧州(N=482)

リスク対策（回避・移転・低減・保有）方針の決定 投資計画への反映

認証の取得・維持 その他

わからない

88

問 22. サイバー保険（情報漏えい等の損害賠償や不正アクセスの原因調査費用等を補償する保

険）に加入していますか。

図 5.9-3 サイバー保険加入状況

34.4

74.0

51.1

36.7

23.1

39.7

28.9

2.8

9.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

加入している 知っているが加入していない 知らない

89

5.10.情報セキュリティ対応体制

問 23(1). 貴社では情報セキュリティ対策をどのような体制で行っていますか。

図 5.10-1 情報セキュリティ対策の体制

問 23(2). 情報セキュリティ業務担当者の量的な充足度及びスキル面等の質的な充足度について、

最も当てはまるものを 1 つお選びください。

図 5.10-2 情報セキュリティ業務担当者の量的充足度

図 5.10-3 情報セキュリティ業務担当者の質的充足度

45.2

69.1

51.7

38.4

28.7

40.1

11.7

1.5

6.3

4.8

0.8

1.9

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

専門部署（担当者）がある 兼務だが担当者が任命されている

組織的には行っていない（各自の対応） わからない

34.4

75.9

71.3

44.9

19.9

22.3

13.4

3.3

3.9

7.4

1.0

2.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=719)

米国(N=523)

欧州(N=516)

十分である やや不足している 大幅に不足している わからない

28.1

56.4

64.0

47.8

35.0

27.7

16.4

6.7

5.6

7.6

1.9

2.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=719)

米国(N=523)

欧州(N=516)

十分である やや不足している 大幅に不足している わからない

90

問 23(3). 問 23(2)で選択肢 2 または 3 を選んだ方に伺います。貴社の情報セキュリティ業務担

当者に現在不足していると考えられるスキル・知識は何ですか。当てはまるものを 3 つまでお選

びください。

図 5.10-4 情報セキュリティ業務担当者に不足しているスキル・能力

46.8

46.5

35.5

40.5

29.4

26.2

0.6

47.2

47.2

41.3

36.7

19.7

9.6

0.5

30.8

44.8

39.5

40.1

20.3

10.5

2.3

0 % 20 % 40 % 60 %

インシデント対応スキル

インシデント情報収集・分析スキル

社外・社内との調整スキル

リスク分析スキル

セキュリティに関連する法律や規制等の知識

セキュリティ技術に関する知識

その他

日本(N=462)

米国(N=218)

欧州(N=172)

91

5.11.セキュリティ製品・組織的対策

問 24. 貴社ではどのような情報セキュリティ関連製品やソリューションを導入していますか。

導入済みのものについて、当てはまるものを全てお選びください。

図 5.11-1 セキュリティ製品・ソリューション導入状況

91.9

41.9

58.8

50.6

29.7

68.9

41.6

18.7

22.4

20.1

22.4

13.1

11.0

22.9

8.2

24.5

22.0

20.4

16.7

34.4

24.6

0.0

83.3

45.2

55.4

51.0

39.1

73.6

46.7

23.1

32.4

35.9

31.3

25.2

19.0

24.9

26.6

29.4

31.3

24.1

16.5

36.8

29.6

0.2

86.3

43.5

66.3

57.4

39.9

84.8

56.3

24.0

36.9

41.6

33.5

14.6

16.9

19.2

20.0

27.2

29.3

25.1

15.6

40.1

34.4

0.4

0 % 20 % 40 % 60 % 80 % 100 %

ウイルス対策ソフト・サービス

標的型攻撃対策ツール（サンドボックス）

ウェブ閲覧のフィルタリングソフトウエア

メールフィルタリングソフトウェア（誤送信防止対策製

品、スパムメール対策製品を含む）

情報漏えい対策（DLP）製品

ファイアウォール

VPN

IDS/IPS

アプリケーションファイアウォール（WAFを含む）

アイデンティティ管理／ログオン管理／アクセス許可製

品（SSOを含む）

ワンタイムパスワード、ICカード、USBキーによる個人認

証

生体認証（バイオメトリクス）

PKIシステムおよびそのコンポーネント（電子証明書の

発行、管理、証明サービスを提供するシステム）

ログ情報の統合・分析、システムのセキュリティ状態の

総合的な管理機能（SIEM）

SOC（Security Operation Center）サービス

クライアントPCの設定・状態・動作・ネットワーク接続等

を管理する製品（検疫ネットワークを含む）

モバイルセキュリティ管理（MDM）

デバイス制御製品（USB、スマートフォン等各種デバイ

スの利用管理、書き込み制御機能）

シンクライアント

暗号化製品（ディスク、ファイル、メール等）

ソフトウエアライセンス管理／IT資産管理製品

その他

日本(N=755)

米国(N=527)

欧州(N=526)

92

問 25. 情報セキュリティ関連被害を防止するために、貴社ではどのような組織面・運用面の対

策を実施していますか。実施している対策について、当てはまるもの全てをお選びください。

図 5.11-2 組織面・運用面の対策

64.8

57.2

62.8

43.0

34.7

39.5

51.8

45.3

18.8

21.9

21.5

26.6

43.4

27.9

41.2

23.8

20.3

20.8

23.4

0.0

50.7

41.4

53.1

48.2

41.9

40.8

49.0

25.8

33.2

28.8

29.0

37.4

31.7

26.6

40.2

34.7

21.6

25.2

18.6

0.6

48.9

40.3

49.6

49.2

39.4

40.1

55.1

34.0

28.1

24.9

27.6

33.3

41.4

24.0

41.6

29.8

20.7

24.1

22.2

1.0

0 % 20 % 40 % 60 % 80 %

フロアや施設への入退出管理

機器や記録媒体の持込み・持出しの制限

一般ユーザアカウントの管理ルールの策定（パ

スワードの設定ルール、退職者管理等）

Webサイト管理者権限アカウントの管理ルール

の策定

その他の管理者権限アカウントの管理ルール

の策定

一般ユーザのプログラムインストールの制限

（exeファイルの実行禁止等）

重要なシステム・データのバックアップ

ハードディスク等の廃棄時の破砕／溶融

外部専門家によるセキュリティ監視サービスの

活用

ログやファイル情報に基づくWebコンテンツの

改ざん検知

定期的なWebコンテンツのセキュリティ診断

サービス（脆弱性調査）の活用

IT資産構成や設定の文書化

セキュリティポリシーの策定

事業継続計画（BCP）の策定

情報セキュリティ監査（内部監査）

情報セキュリティ監査（外部監査）

情報セキュリティマネジメントシステム（ISMS）の

認証取得

セキュリティ人材の育成・採用

役員・従業員等に対するセキュリティ教育の実

施

その他

日本

(N=755)

米国

(N=527)

欧州

(N=526)

93

5.12.CSIRT

問 26. 貴社では、インシデント対応を担当する組織を設置していますか。

図 5.12-1 CSIRT 等設置状況

問 27. 貴社の CSIRT 等が担う役割について、重要と考える役割を 3 つまでお選びください。

図 5.12-2 CSIRT 等が有する役割

22.6

55.6

32.9

44.2

34.5

45.1

33.1

9.9

22.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

CSIRTを設置している

CSIRTという名称ではないが、インシデント対応を担当する組織がある

インシデント対応を担当する組織は決まっていない

67.1

49.3

38.2

27.9

11.9

12.9

20.6

13.9

5.7

3.8

5.3

52.6

54.7

38.7

25.9

17.5

17.7

21.3

28.2

8.8

3.4

4.4

48.3

47.1

33.2

22.4

26.3

19.5

29.8

28.0

9.0

4.6

6.1

0 % 20 % 40 % 60 % 80 %

情報セキュリティ関連の脅威・脆弱性情報の収

集・分析・対応

セキュリティ監査・評価

セキュリティツールの管理・運用

情報セキュリティ対策に関する教育、啓発、注

意喚起

訓練・演習の実施

社内外からのインシデント報告窓口

インシデントに対する初動対応

インシデントの調査及び分析

外部機関や関係者への連絡・調整

インシデント後の対外公表、法的対応

再発防止策の策定

日本(N=505)

米国(N=475)

欧州(N=410)

94

問 28(1).貴社の CSIRT 等の有効性の全体評価として、当てはまるものを 1 つお選びください。

図 5.12-3 全体評価

問 28(2). (1)の全体評価に関して、CSIRT 等の有効性を左右する要素として、特に重要なものを

3 つまでお選びください。

図 5.12-4 有効性評価要素

18.4

60.8

45.4

56.8

34.1

44.1

17.8

4.4

7.6

1.6

0.2

1.7

5.3

0.4

1.2

0% 20% 40% 60% 80% 100%

日本(N=505)

米国(N=475)

欧州(N=410)

期待したレベルを満たしている ある程度期待したレベルを満たしている

あまり期待したレベルを満たしていない 全く期待したレベルを満たしていない

まだ評価できない

68.7

46.9

39.4

16.2

28.3

16.0

8.5

6.5

4.4

0.2

54.7

45.1

42.5

33.9

24.8

28.6

15.2

10.1

5.3

0.0

50.7

40.5

42.4

30.0

27.8

22.4

14.4

13.4

6.1

0.0

0 % 20 % 40 % 60 % 80 %

能力・スキルのある人員の確保

十分な予算の確保

適切な対応手順の整備・見直し

十分な活動実績

社内における機能の認知

社内の既存部門との連携

外部関係機関との連携

CSIRTコミュニティにおける積極的な情報共有

事案から得られた知見に基づく改善

その他

日本(N=505)

米国(N=475)

欧州(N=410)

95

問 29.CSIRT 等がインシデント対応にあたって有する権限（システム停止、ネットワーク遮断、

調査等）として当てはまるものを 1 つお選びください。

図 5.12-5 インシデント対応時の権限

43.4

61.5

45.1

43.6

32.6

45.6

6.5

5.3

7.8

6.5

0.6

1.5

0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

日本(N=505)

米国(N=475)

欧州(N=410)

インシデント対応の判断・意思決定において全面的な権限を持つ

インシデント対応の判断・意思決定において一部の権限を持つ

特定の条件を満たした際に、既存の判断・意思決定者から権限が委譲される

インシデント対応の判断・意思決定を行う権限は持たず、支援のみ行う

96

5.13.ウイルス感染・サイバー攻撃・内部者による不正の被害状況

問 30(1). 貴社では、直近の会計年度に、ウイルス感染やサイバー攻撃（不正アクセス、DoS 攻

撃、標的型攻撃等）、内部者（委託者等を含む）による不正の被害が発生しましたか。

図 5.13-1 被害経験の有無（ウイルス感染）

図 5.13-2 被害経験の有無（サイバー攻撃）

図 5.13-3 被害経験の有無（内部者による不正）

26.1

31.9

18.1

25.8

25.6

32.3

21.9

24.1

29.8

17.1

16.9

15.4

9.1

1.5

4.4

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した

攻撃はあったが被害は発生していない

発生していない（常時監視しており、確認できている）

発生していない（監視していないが、被害の報告は受けていない）

わからない

11.1

15.0

6.7

24.2

30.7

29.3

27.8

30.7

36.7

25.6

21.1

21.9

11.3

2.5

5.5

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した攻撃はあったが被害は発生していない発生していない（常時監視しており、確認できている）発生していない（監視していないが、被害の報告は受けていない）わからない

8.6

11.8

6.8

9.0

19.2

16.3

31.8

35.7

38.8

35.2

28.1

28.3

15.4

5.3

9.7

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=755)

米国(N=527)

欧州(N=526)

発生した攻撃はあったが被害は発生していない発生していない（常時監視しており、確認できている）発生していない（監視していないが、被害の報告は受けていない）わからない

97

問 30(2). (1)でウイルス感染が「発生した」または「攻撃はあったが被害には至らなかった」と

回答した方に伺います。感染あるいは発見したウイルスについて、想定される侵入経路に当ては

まるものを全てお選びください。

図 5.13-4 ウイルス侵入経路

85.2

65.6

37.5

11.0

30.6

14.3

0.0

0.5

67.7

46.3

44.7

32.0

33.0

11.3

0.0

1.0

61.2

39.6

45.0

21.5

26.9

14.2

0.0

2.3

0 % 20 % 40 % 60 % 80 % 100 %

電子メール

インターネット接続（ホームページ閲覧など）

自らダウンロードしたファイル

P2P(Peer to Peer）などのファイル共有ソフト

USBメモリ等の外部記録媒体

持ち込みクライアント（パソコン）

その他

わからない

日本(N=392)

米国(N=300)

欧州(N=260)

98

問 31(1). 問 30(1)でウイルス感染またはサイバー攻撃または内部者による不正の被害が「発生し

た」と回答した方に伺います。貴社が受けた被害内容に当てはまるものを全てお選びください。

図 5.13-5 被害内容

問 31(2). 貴社が受けた攻撃の手口に当てはまるものを全てお選びください。

図 5.13-6 攻撃手法

33.8

22.8

19.6

17.4

17.8

14.6

8.7

15.5

15.5

18.3

10.0

48.9

34.2

39.1

42.2

25.8

23.1

21.8

17.3

17.3

4.9

0.4

34.7

29.8

34.7

27.4

25.0

19.4

23.4

19.4

23.4

9.7

0.8

0 % 20 % 40 % 60 %

顧客情報の漏えい

業務情報（営業秘密を除く）の漏えい

営業秘密の漏えい

Webサイトの改ざん

Webサイトのサービス機能の低下・停止

サイバー攻撃の踏み台としてWebサイトが利用された

業務サーバの内容の改ざん・破壊

業務サーバのサービス機能の低下・停止

業務サーバ、Webサーバのウイルス感染

ランサムウェア※感染によりデータファイルが使用不能

になった

その他

日本(N=219)

米国(N=225)

欧州(N=124)

34.8

51.7

25.8

34.1

29.6

1.1

6.4

50.2

41.1

38.6

32.4

18.7

0.8

2.9

29.1

43.9

20.1

35.4

18.0

1.1

4.8

0 % 20 % 40 % 60 %

ID・パスワードをだまし取られてユーザになりすまされ

たことによる不正アクセス

脆弱性（セキュリティパッチの未適用）を突かれたこと

による不正アクセス

SQLインジェクション

DoS（DDoS）攻撃

標的型攻撃

その他

手口はわからない

日本(N=267)

米国(N=241)

欧州(N=189)

99

問 31(3). ウイルス感染やサイバー攻撃等の発生による被害額に関して、①取引先や顧客等に対

する損害賠償額②新たに購入（レンタル・リース含む）した代替機器の費用③システム構築等で

外部に発注した業務の費用④セキュリティサービスベンダーやコンサルタント等に発注した業務

の費用⑤その他費用（問い合わせ窓口の設置、謝罪広告の掲載等）の各項目について、もっとも

近いものをお選びください。

図 5.13-7 被害額（①取引先や顧客等に対する損害賠償額）

図 5.13-8 被害額（②新たに購入（レンタル・リース含む）した代替機器の費用）

62.6

26.7

41.1

5.9

12.0

14.5

3.7

8.0

10.5

4.1

9.8

8.1

2.7

8.0

1.6

2.7

13.8

7.3

2.3

8.9

4.8

1.8

6.2

3.2

1.8

2.7

1.6

0.5

1.3

0.0

11.9

2.7

7.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=219)

米国(N=225)

欧州(N=124)

発生していない 50万円未満 50万円～100万円未満100万円～150万円未満 150万円～200万円未満 200万円～400万円未満400万円～600万円未満 600万円～800万円未満 800万円～1，000万円未満1，000万円以上 不明

50.2

16.9

28.2

8.7

15.1

22.6

6.8

11.6

13.7

5.9

13.8

4.0

4.1

8.9

7.3

0.9

12.9

6.5

5.5

8.4

3.2

1.8

2.7

2.4

2.7

5.3

3.2

0.0

1.8

1.6

13.2

2.7

7.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=219)

米国(N=225)

欧州(N=124)

発生していない 50万円未満 50万円～100万円未満

100万円～150万円未満 150万円～200万円未満 200万円～400万円未満

400万円～600万円未満 600万円～800万円未満 800万円～1，000万円未満1，000万円以上 不明

100

図 5.13-9 被害額（③システム構築等で外部に発注した業務の費用）

図 5.13-10 被害額

（④セキュリティサービスベンダーやコンサルタント等に発注した業務の費用）

図 5.13-11 被害額（⑤その他費用（問い合わせ窓口の設置、謝罪広告の掲載等））

48.9

16.9

23.4

6.4

9.8

16.1

7.8

13.8

16.1

7.8

11.1

14.5

5.0

16.4

4.0

2.7

10.2

4.0

4.1

10.2

7.3

1.8

4.0

5.6

2.7

3.6

0.0

1.4

1.8

0.8

11.4

2.2

8.1

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=219)

米国(N=225)

欧州(N=124)

発生していない 50万円未満 50万円～100万円未満

100万円～150万円未満 150万円～200万円未満 200万円～400万円未満

400万円～600万円未満 600万円～800万円未満 800万円～1，000万円未満

1，000万円以上 不明

46.1

18.7

26.6

8.2

12.9

14.5

6.8

8.4

16.1

9.1

10.7

9.7

4.1

10.7

8.9

3.2

14.7

7.3

4.6

7.6

4.8

3.7

8.9

1.6

1.8

3.1

2.4

0.0

1.8

0.8

12.3

2.7

7.3

0 % 20 % 40 % 60 % 80 % 100 %

日本(N=219)

米国(N=225)

欧州(N=124)

発生していない 50万円未満 50万円～100万円未満

100万円～150万円未満 150万円～200万円未満 200万円～400万円未満

400万円～600万円未満 600万円～800万円未満 800万円～1，000万円未満

1，000万円以上 不明

51.6

15.1

25.8

7.8

10.2

17.7

5.9

15.6

8.9

4.6

13.8

12.1

6.4

11.6

7.3

2.7

9.3

5.6

2.3

7.6

6.5

3.2

7.6

3.2

2.7

3.1

2.4

0.0

1.8

2.4

12.8

4.4

8.1

0.0 20.0 40.0 60.0 80.0 100.0

日本(N=219)

米国(N=225)

欧州(N=124)

発生していない 50万円未満 50万円～100万円未満

100万円～150万円未満 150万円～200万円未満 200万円～400万円未満

400万円～600万円未満 600万円～800万円未満 800万円～1，000万円未満

1，000万円以上 不明

101

5.14.セキュリティ対策を推進する上での課題

問 32. 貴社の情報セキュリティ対策を進めるうえでの課題点について、特に課題と感じるもの

を 3 つまでお選びください。

図 5.14-1 課題認識

30.9

24.4

33.9

34.6

16.8

20.1

15.9

12.5

13.2

4.9

4.9

1.7

27.1

28.1

27.5

32.4

24.9

19.0

23.7

14.6

13.5

3.8

8.7

2.7

20.7

19.0

27.9

27.9

20.3

17.1

21.9

12.2

11.8

4.4

15.8

2.7

0 % 20 % 40 %

経営層のリスク感度が低い

経営層にITやセキュリティの重要性を理解してもらえない

予算が不足している

リスクの見える化が困難/不十分

情報セキュリティの取組が企業価値の向上につながると

認識されていない

セキュリティ対策が場当たり的になっている

インシデント発生に備えた準備が不十分

経営とセキュリティの両方を理解している人材がいない

担当者の専門知識が不足している

CISOの能力が不十分である

委託先管理が困難である

その他

日本(N=755)

米国(N=527)

欧州(N=526)

102

5.15.ガイドライン・標準の参照状況

問 33. （日本のみ）貴社で情報セキュリティ対策を検討する際に参照・利用しているガイドラ

イン・標準について、参照・利用状況として当てはまるものをお選びください。

図 5.15-1 ガイドライン・標準の参照状況

54.8

49.3

56.6

34.6

35.5

43.7

29.0

33.4

49.3

40.3

41.9

35.2

36.8

39.3

33.0

30.6

27.7

25.0

27.0

23.4

45.2

50.7

43.4

65.4

64.5

56.3

71.0

66.6

50.7

59.7

58.1

64.8

63.2

60.7

67.0

69.4

72.3

75.0

73.0

76.6

0% 20% 40% 60% 80% 100%

サイバーセキュリティ経営ガイドライン（経済産業省/IPA）

ISO/IEC 27000シリーズ（情報セキュリティマネジメントシス

テムに関する国際規格）

情報セキュリティ管理基準（経済産業省）

金融機関等コンピュータシステムの安全対策基準（FISC）

政府機関統一基準（NISC）

情報セキュリティ対策ベンチマーク（IPA）

PCI DSS

サイバーセキュリティフレームワーク（NIST）

個人情報の保護に関するガイドライン（各省庁）

JIS Q15001（個人情報保護マネジメントシステム）

組織における内部不正防止ガイドライン（IPA）

クラウドサービス利用のための情報セキュリティマネジメン

トガイドライン（経済産業省）

クラウドサービス提供における情報セキュリティ対策ガイド

ライン（総務省）

SSL/TLS暗号設定ガイドライン（IPA）

ISO/IEC 15408（CC：製品・システムの情報セキュリティ評価

基準）

情報セキュリティ早期警戒パートナーシップガイドライン

（IPA）

CSIRTマテリアル（JPCERT/CC）

CSIRTスタータキット（日本シーサート協議会）

IoTセキュリティガイドライン（IoT推進コンソーシアム/総務

省/経済産業省）

CSMS（IEC 62443-2-1）（制御システムセキュリティ）

利用している 利用していない日本N=755

103

5.16.制御システムの被害状況

問 34. （日本のみ）貴社は政府が指定する次の「重要インフラ」分野の事業者に該当しますか。

当てはまるものをお答えください。

図 5.16-1 重要インフラ業種

問 35(1). （日本のみ）貴社の制御システムについて、過去 5 年のうちに、サイバー攻撃や悪意

のあるソフトウェアを原因とするインシデントは発生しましたか。

図 5.16-2 制御システム被害状況

情報通信

20.0%

金融

8.2%

航空

0.8%

鉄道

1.2%

電力

2.6%ガス

0.9%

医療

3.6%

水道

0.3%

物流

5.3%化学

2.1%

クレジット

0.8%

石油

0.4%

政府・行政

サービス

4.9%

該当しない

48.9%

日本N=755

23.1%

66.6%

4.1%

6.2%

インシデントが発生した

インシデントは発生して

いない

制御システムは保有して

いない

わからない

104

問 35(2). （日本のみ）問 35（1）で 1 を選択した方に伺います。インシデントの発生により、

貴社の制御システムが停止した期間（複数ある場合は最長の期間）に最も近いものを 1 つお選び

ください。

図 5.16-3 システム停止時間

問 35(3). （日本のみ）問 35(2)で 2～8 を選択した方に伺います。貴社の制御システムが停止し

たことによる被害額（逸失利益、復旧費用等）に最も近いものを 1 つお選びください。

図 5.16-4 被害状況（被害額）

29.2%

29.2%

20.2%

7.9%

5.6%

3.4%2.2%

0.0%2.2% 停止していない

4時間未満

4～8時間未満

8～12時間未満

12～24時間未満

24時間～3日未満

3～6日未満

6日以上

わからない

14.8%

21.3%

14.8%18.0%

8.2%

4.9%

6.6% 11.5%

500万円未満

500万円～1,000万円未満

1,000万円～3,000万円未満

3,000万円～5,000万円未満

5,00万円～1億円未満

1億円～10億円未満

10億円以上

わからない