セキュリティ対策と外部委託（MSS）の対応状況（2015年）：IT担当者300人に聞きました（1/5 ページ）

320人を対象に「セキュリティ対策と外部委託」に関する調査を実施。セキュリティ担当者が不足している状況などが明らかになった。

[キーマンズネット]

　キーマンズネットでは、2015年5月15日〜6月9日にかけて「セキュリティ対策と外部委託」に関するアンケートを実施した（有効回答数320件）。回答者の顔ぶれは、情報システム部門が全体の48.8％、一般部門が51.2％という構成比だった。

　今回、聞いたのは「セキュリティ対策に関する課題」や「セキュリティ診断の実施状況」「マネージドセキュリティサービス（以下MSS）の認知度・導入状況」など、企業の情報セキュリティ対策の現状を把握するための質問だ。その結果、多くの企業でセキュリティ対策担当者が不足しているが、MSSの導入率はわずか5.6％にとどまっていることなどが明らかとなった。

　なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので事前にご了承いただきたい。

4割超の企業でセキュリティ担当者が不足、中小企業の4分の1は不在

　はじめに、「自社のセキュリティ対策における課題・問題」について尋ねたところ、1位が「対策を行える人手が不足している」で43.5％、2位が「専門的な知識が不足している」で39.3％、3位が「社員のセキュリティリテラシーが低い」で32.6％と続いた（図1-1）。

　次に、「セキュリティ対策を専任で対応する部署（CSIRTなど）の有無」について尋ねると、「ある」が18.0％、「兼任の担当者が集まった部署がある」が27.5％、「ない」と回答した企業が最も多く53.2％に上った。

　さらに、「セキュリティ対策の専任者の有無」について聞いたところ、「専任者がいる」は24.0％、「専任者はいないが、兼任している担当者はいる」が最も多く64.1％、「専任者も担当者もいない」と回答した企業が11.9％という結果となった（図1-2）。

　約4分の1（24.0％）の企業でセキュリティ対策の専任者を抱えている事実が明らかとなったが、企業規模別に見ると1001人以上の大企業が42.1％、100人以下の中小企業では11.5％と30ポイント以上の差が出た。また100人以下の企業では4分の1（25.6％）もの企業が専任者も担当者も不在の状況にあり、特に中小企業でセキュリティ担当者の人材不足は深刻な問題にあることが明らかとなった。

図1 自社のセキュリティ対策における課題・問題／セキュリティ対策の専任者の有無

図1 セキュリティ対策に関して不足している人材

　また、「セキュリティ対策に関して不足している人材」について尋ねた結果、1位が「セキュリティ対策の戦略・ポリシーを設計する人材」で52.7％、2位が「システムに対する不正な通信やアクセスを監視する人材」で43.7％、3位が「脅威情報の収集や伝達、インシデントに対応できる人材」で43.1％と続いた（図1-3）。

　フリーコメントからは、「セキュリティ対策を経営課題として適切にとらえ実施判断できる経営者が不足している」や「法を解釈して現状の構成での不備を指摘できる者が不足している」など、トップマネジメントやコンプライアンス観点からのセキュリティについての課題を上げる声もあった。

　「セキュリティ対策に従事する人材の確保方法」について尋ねたところ、最も多かった回答は「自社で人材を育成する」で70.7％、次いで「セキュリティの専門会社に外部委託する」で24.1％、「セキュリティ対策に秀でた人材を雇用する」が13.0％、「その他」が10.1％と続いた。

　その他と回答した人からは、「SaaSによるセキュリティ対策を増やし、運営に関わる必要人員を減らす」といった運用負荷の削減に新たな取り組み方で対応している声もあれば、「兼任担当者を選出後、自己学習に任せている」といった声も聞かれ、企業のセキュリティレベルが担当者個人のスキルに依存している状況も見られた。