今回は以下のニュースについて記事にしていきます。
中堅企業「情シス」、4割弱が1人以下 – 前年から7ポイント増
先日CISMのカンファレンスに行ったこともあり色々刺激を受けたので、その内容のフィードバックも兼ねたいなーと考えています。
ニュースの詳細について
中堅企業において、いわゆる「ひとり情シス」「ゼロ情シス」が占める割合が1年で7ポイント増加したという。
デルが国内の従業員100人以上、1000人未満の中堅企業約800社を対象に、2018年12月から2019年1月にかけて調査を実施、結果を取りまとめた。
調査によれば、情報システム担当者が1名以下の企業は約38%。前年調査の31%から7ポイント上昇した。また情報システム要員の離職率は21%だった。
担当者が1人のみのいわゆる「ひとり情シス」は全体の18.8%、前年の14%から4.8ポイントの増加。さらに情報システムの専任者がいない「ゼロ情シス」は18.8%で、前年の17%から微増した。
参考:http://www.security-next.com/102631
情シス「0人」の企業はひとまずおいておき、情シスが「1人」という企業は本当に機能しているのでしょうか?もし何か社内システムで問題があった場合や、インシデントがあった際に機能するのでしょうか?
本来の自分の仕事と情シスを兼任でやっている場合も多いようです。
CSIRTが別に用意されているとは考えにくいので緊急の場合はとんでもないことになりそうですね。(離職率21%がそこを物語っているのかもしれませんね。。。)
CISMカンファレンスの内容を受けて
この記事中では情シスとCSIRTとあたりをほぼ同列として考えているかなと思いますが、やはり経営者がサイバー攻撃やウイルスへの感染等の組織ヘの影響をあまり大きく考えていない気がします。
サイバーセキュリティ対策部隊(CSIRTとしても機能)をIT部門下に置いている企業もまだまだ多くいると思いますが、やはりある程度の権限を持てるようにする必要があるのではないでしょうか?
CISMのカンファレスの内容でも、「サイバーセキュリティに関心がない企業・経営層は・・・」とあるとおり、色々問題が出てくるかなと私も思います。
ここで大事なのが経営者がハッキングやセキュリティの知識に詳しい必要はないということです。(もちろんあるに越したことはないですが・・・)
ただ、セキュリティインシデントが発生した際の影響を考慮する必要はあります。
丸投げは絶対してはいけません。2014年ごろに某教育関連の出版社の社内情報の持ち出しの事件があったことは皆さんまだ覚えているかと思います。
私もセキュリティ関係の仕事をする一人として今後、色々な会社でセキュリティエンジニア(情シスやCISOも含む)の立場がよくなっていけばいいと考えています。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント