独立行政法人情報処理推進機構(IPA）は3月25日、「企業のCISO等やセキュリティ対策推進者に関する実態調査」の報告書を公開しました。国内企業のCISO（Chief Information Security Officer、最高情報セキュリティ責任者）などの役割についての動向と、企業のセキュリティ対策の取り組みについて調査しています。

報告書では、経営層のセキュリティ認識とCISO等に求められる役割およびCISO等がサイバーセキュリティに関して重点的に取り組むべき課題について示しています。

具体的には、課題を十分に理解できている経営層は少ない点を指摘しており、CISO等とのコミュニケーションを図り、自らの考えや関心事項を伝達しておくことや、CISO等の業務内容や責任を明確化、業務執行に必要な権限を付与することが求められるとしています。

また、CISO等が重点的に取り組むべき課題として、サプライチェーンに対する具体的なセキュリティ対策とPDCAサイクルの実践をあげており、例えば、サプライチェーンのパートナー企業と責任範囲を明文化し、セキュリティ対策に関する契約の締結に着手したり、他社で発生したインシデントをケーススタディに、机上でサイバー演習を行ったりする方法を紹介しています。

報告書はIPAのウェブサイトからPDF形式でダウンロードができます。