セキュリティ教育・組織体制に関する実態調査(ITセキュリティに関与する方対象) 

2014年09月01日
トレンドマイクロは、2014年6月に、企業および官公庁自治体でITセキュリティに関与する1,234名を対象に、「セキュリティ教育・組織体制に関する実態調査」を実施。

【調査結果】

1. 中堅規模以上の組織を中心に、インシデント対応が可能な体制づくりが進む

今回の調査では、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team:シーサート)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center:ソック)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることがわかりました。
一方で、従業員1,000名以上の組織においては、12.8%がCSIRT・SOCのいずれかをすでに設立しており、約4分の1にあたる25.3%が今後設立予定としています。昨今のサイバー攻撃の被害を鑑み、中堅規模以上の組織を中心に、万が一のインシデント発生時も対応できる体制づくりを進めていることがわかりました。

2. 攻撃を想定した実践的な取り組み実施はわずか。実施を阻む課題は「ノウハウ不足」

一般社員のセキュリティ意識向上を目的とした取り組みの実施状況について聞いたところ、セキュリティに関する注意喚起は全体の69.8%が「実施している」と回答しました。一方、社員向けのセキュリティ教育を実施しているとした回答者は全体の51.1%、サイバー攻撃を想定したなりすましメール訓練の演習を実施しているとした回答者は全体のわずか8.7%に留まりました。さらに、社員教育については全体の3割以上、なりすましメール訓練によるサイバー攻撃演習については全体の約7割の回答者が今後も「実施予定なし」と回答しました。
社員向けの各種セキュリティ教育や演習の実施予定がない理由としては、「社内のノウハウ不足」が最も多く挙げられました。一般的なセキュリティ意識改善に対する取り組みは一定数の組織で実施されているものの、より高いセキュリティ知識やノウハウが求められる教育や実践的な取り組みは浸透していないことがわかりました。

また、組織内でセキュリティを担当するセキュリティ人材のスキル向上の取り組みでは、社内で講習会を実施しているのは全体の38.7%、社外の講習会に参加しているのは26.6%という結果になりました。セキュリティ人材に対しても、サイバー攻撃を前提とした演習を実施している企業は10.0%のみで、「実施予定なし」とした回答者は全体の約7割にのぼります。
演習の実施予定のない企業に対し理由を尋ねたところ、やはり「社内のノウハウ不足」を挙げる回答者が最も多い結果になりました。また、社内の人員から講師を立てて行う講習についても、実施予定のない理由としてノウハウ不足を挙げる回答者が最も多く、セキュリティに関する知見や取り組み方に関する知識の不足が、セキュリティに関する体制を強化するうえでの足かせとなっていることが浮き彫りになりました。


【調査概要】
調査名:セキュリティ教育・組織体制に関する実態調査 2014
実施時期:2014年6月26日~2014年6月30日
回答者:組織における情報セキュリティ対策に関する意思決定者、および意思決定に寄与する立場の方 計1,234名
調査手法:インターネット調査

その他、詳しいリサーチ内容はネタ元へ
[トレンドマイクロ]
 マイページ TOP