NRIセキュアテクノロジーズは、2022年７月から9月にかけて、日本、アメリカ、オーストラリアの2,877社を対象に、情報セキュリティに関する20回目の実態調査を行い、調査レポート「NRI Secure Insight 2022」を公開しました。2002年度から継続している長年の定点観測で浮かび上がったのは、セキュリティ人材の不足に悩む日本企業の姿です。人材不足だけにとどまらず、CISO^※1の設置割合や、IT予算に占めるセキュリティ予算の割合についても、アメリカ、オーストラリアとの顕著な差が見られました。日本企業における情報セキュリティ対策の問題点と解決策について、今回の調査のリーダーを務めたNRIセキュアテクノロジーズの薮内俊平に話を聞きました。

10年経っても改善しない情報セキュリティ人材の不足

――情報セキュリティ対策における日本企業の問題点を教えてください。

薮内：ほとんどの日本企業でセキュリティ人材が足りていません。自社にセキュリティ人材が不足していると回答した企業の割合は、アメリカとオーストラリアでは10％前後であるのに対し、日本では90％近くに及びます。しかも、この数字はここ10年ほど変化していません。
人材の不足については、日本企業が対策を怠っているわけではありません。セキュリティ担当者の業務範囲や業務量が増している一方で、供給が追いついていないことが理由の一つと考えます。例えば、コロナ禍で半強制的にリモートワークが進み、情報資産がオフィスの外に持ち出されるようになりました。クラウドサービスの利用も広がっています。攻撃される領域（アタックサーフェス^※2）が広がり、取引先や委託先などサプライチェーン全体にも気を配る必要があるなど、これまでとは比べものにならないほどセキュリティ担当者の守備範囲が拡大しているのです。また人材不足を感じる企業の約40％が、人材不足を解消するための人材教育や採用、システムによる自動化・省力化など施策を「実施したいが、検討できていない」と回答し、忙しい現場の担当者が抱いている苦悩を読み取ることができます。

――情報セキュリティに関する業務が増加しているのはアメリカやオーストラリアも同様だと思うのですが、人材不足に悩む企業が少ないのはどうしてなのでしょうか？

薮内：人材が充足していると回答したアメリカやオーストラリアの企業に尋ねたところ、理由のトップに来るのがMSP（マネージドサービスプロバイダ）などの外部サービスやツールを活用した業務の自動化・省力化でした。例えば、海外では取引先や委託先のセキュリティ管理にVRM（ベンダーリスクマネジメント）^※3ツールを活用して効率化を図るなど、少ない人数で業務をまかなうための仕組みが整えられているため、人材不足を感じることが少ないと考えます。日本企業においても、人材不足の解消に向けてこうした外部サービスやツールを積極的に活用することが今後期待されます。

CISO設置割合が低く、IT予算に対するセキュリティ予算の割合も低い日本企業

――日本企業が同様の施策を打てないのはなぜなのでしょうか？

薮内：原因の一つに、情報セキュリティの現場と経営層をつなぐ役割であるCISOの設置割合が低いことが挙げられます。アメリカ、オーストラリアでは95％を超える企業がCISOを設置していますが、日本では42％に過ぎません。
これには、経営層の考え方が反映されていると考えられます。情報セキュリティ対策に関して「経営層のトップダウン指示」と回答した数は、アメリカとオーストラリアでは半数に上りますが、日本では20％にとどまります。本来であれば情報セキュリティ対策は、自社のセキュリティ戦略に基づいて、CISOと経営層が一体となってトップダウンで進めるべきですが、日本企業の多くはCISOが不在なため、自社や他社のインシデントをきっかけに対策を進める傾向があります。

また、前述した外部サービスやツールを使うためには予算が必要です。しかし、日本企業の約70% はセキュリティ予算がIT予算の10%未満と回答しており、アメリカとオーストラリアの水準にはほど遠い状況です。CISOがいないために現場の声が経営層に伝わりにくく、本当に必要な予算を確保できないため、外部サービスやツールを導入できない結果を引き起こしている可能性があります。

――日本企業にCISOが少ないのは、何か理由があるのでしょうか？

薮内： CISOを任命したくても、適任者がいないという企業も多いようです。CISOに求められる「セキュリティの知識・技術」「戦略・会計などのビジネススキル」「リーダーシップと意思決定力」「コミュニケーションスキル」の全てを兼ね備えた人材は容易には見つかりません。そのため、CISOを任命・育成できずに、これまで通りIT部門に戦略策定・企画から実行、運用を任せているという企業が多いと考えられます。

経営層が情報セキュリティを自分事と捉え、CISOを育成するという考え方が不可欠

――まだCISOを設置できていない企業は、今後どうすれば良いでしょうか？

薮内：経営層と現場をつなぐために、CISOとして個人を任命するのではなく、CISOをチームとして立ち上げ、予算と意思決定の権限を付与することを提案します。全ての資質を持った人材がいないのなら、ビジネス部門の関係者も含めた複数の人材で組閣しようという考え方です。そうやって立ち上げたCISOを、経営層と現場をつなぐ中間マネジメントチームとして機能させ、トップダウンで現場に指示を出せるようにするのです。またセキュリティ予算の獲得には、経営層に情報セキュリティを自分事として捉えてもらえるように、経営視点を盛り込んだコミュニケーションを図るなど、説得力を高める創意工夫が求められます。

――CISOをチームとして運営するときに、注意すべき点をお聞かせください。

薮内：すぐに結果が現れるものではないため、中長期的にチームを育成するという考え方が不可欠です。その間に専任となれる人材を育成していく考え方もあります。さらに大切なのが、経営層が情報セキュリティを自分事として捉え、CISOと密接にコミュニケーションをとりながら、現場のセキュリティ担当者が働きやすい業務環境とやりがいをつくっていくことです。また、対策が進まない原因を忙しい現場に押し付けることなく、自社の経営戦略に即したセキュリティ戦略をトップダウンで企画・策定し、対策を実行して欲しいと思います。

• 1　CISO：Chief Information Security Officer（最高情報セキュリティ責任者）
• 2　アタックサーフェスの詳しい解説はこちら
• 3　Vendor Risk Managementの詳しい解説はこちら