①調査目的【セキュリティ成熟度とは】②調査概要③調査結果から得られた知見④調査結果(抜粋)- 情報セキュリティ分科会「セキュリティ成熟度と被害の実態2023」〜CIOLounge ×トレンドマイクロ共同調査〜情報セキュリティ分科会の活動としてトレンドマイクロ株式会社に全面的に協力する形で、「セキュリティ成熟度と被害の実態調査」を2023年6月に共同実施しました。トレンドマイクロ株式会社から10月に結果のサマリー版を発表、11月1日にはCIOLoungeと共同でプレスリリースを行いました。本件は、日経本紙および電子版にて特集記事として採り上げられています。調査に当たっては、実際にサイバー攻撃の被害に遭った企業を対象に被害の実態調査を行うとともに、NISTが提唱するCSF(v1.1)をもとに各企業の「セキュリティ成熟度」を判定しました。今後は、2024年2月に本調査結果を受けたとトレンドマイクロ株式会社の共同セミナーも実施しました。(図表の出典は「セキュリティ成熟度と被害の実態2023〜×トレンドマイクロ共同調査〜」サマリー版2023.10)実際に被害を受けた企業を調査して「セキュリティ成熟度」とサイバー攻撃被害の大きさの相関関係を分析し、組織にとって有効なサイバー攻撃被害低減策を提示することを目的としました。セキュリティ成熟度の算出にあたっては、NISTの提唱するCSFを採用しています。※図1●対象人数:305名(以下の条件を全て満たす個人)条件1:過去3年以内にサイバー攻撃による被害を受けた法人組織に所属条件2:従業員500名以上の法人組織に所属条件3:経営管理・BCP策定・DX推進●情報資産管理・セキュリティ関連業務に携わる、部長職以上の責任者●役職別内訳/経営者:3、役員級:58、本部長級:45、部長級:199●組織規模別内訳/500〜999人:48、1、000〜2、999人:74、3、000〜4、999人:40、5、000〜9、999人:39、10、000〜19、999人:34、20、000人以上:70 調査から得られた特筆すべき知見は以下の通りです。⑴「セキュリティ成熟度」が高いほど「サイバー攻撃による業務停止期間」が短い。「セキュリティ成熟度」の計測が被害低減に向けた指標となる。⑵「資産の棚卸やリスク管理」と「インシデント時の対応計画準備」に関する対策を優先的に実施することが有効。⑶「セキュリティ成熟度」と「経営層の関わり」の間に強い相関が見られることから、経営層がサイバーセキュリティを経営リスクとして認識し対策を主導することが必須。⑷セキュリティ対策を進める上での課題として「スキルある人材の不足」という認識が最多となっており、解決策として外部のリソースを活用するためには、自社で担当する業務の整理と、自社に不足しているスキル領域を特定することが第一歩となる。⑸サイバー攻撃者は相対的に「セキュリティ成熟度」の低い中規模組織や海外拠点を侵入口として利用し、大規模組織を最終的な標的にする可能性が高まると予想されるので、サプライチェーン、海外拠点を横断的に行うインシデント対応訓練が効果的だと思われる。⑹サイバー攻撃のうち、「ランサムウェア攻撃」と「ビジネスメール詐欺」が企業に大きな被害をもたらしており、これらに対する対策を十分に行うことが必要。●「セキュリティ成熟度」と「経営層の関わり」との相関関係「経営層の関わり」の大きさを、⑴セキュリティ業務やリスクに関する報告、⑵セキュリティ対策へのリーダーシップの主導、⑶経営会議でのセキュリティSubcommittee活動紹介13図2:「セキュリティ成熟度」と「経営層の関わり」の相関関係図1:「セキュリティ成熟度」の算出方法
元のページ ../index.html#14