CISOは重要な取締役の幹部と見なされず–KPMG調査

今回は「CISOは重要な取締役の幹部と見なされず–KPMG調査」についてご紹介します。

関連ワード （CIO／経営等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　KPMGコンサルティングは、「デジタルの信頼」をテーマとした調査報告書「KPMGサイバートラストインサイト2022」の日本語版を発表した。セキュリティやプライバシーの重要性が増す中で、最高情報セキュリティ責任者（CISO）の活躍が期待される一方、CISOを取締役会の重要な幹部ではないと見る実態が判明した。

　調査は、デジタル時代における企業経営でサイバーセキュリティとプライバシーへの適切な対応を通じて利害関係者との「信頼」を醸成することが重要になるとの考え方から実施された。同社は、2022年5～6月に日本を含む世界31地域で年商1億ドル以上の組織で働く上級管理職1881人を対象にアンケートを行い、このうち42％最高責任者（CxO）を含む経営層となる。また、5人の企業経営者にインタビューした内容も取り入れている。

　それによると、信頼性の向上がもたらす主なメリットとして、回答者の37％が「収益性の向上」、36％が「顧客維持率の向上」、34％が「取引先との関係性の強化」を挙げた。また、80％以上が「サイバーセキュリティとデータ保護の改善が重要」と答え、51％が「サイバー攻撃からIT資産を保護することが大切」とした。

　AIやML（機械学習）の利用については、78％が「AIとMLが特別な注意を必要とするサイバーセキュリティの課題をもたらす」と回答し、テクノロジー導入時に解決すべき基本的な倫理課題があるとの意見が目立っていたという。

　さらに、79％は「効果的なサイバーセキュリティにはサプライヤーの建設的な関与が不可欠」とした。だが、「その実現に向けて実際に協力している」との回答は42％にとどまり、60％は「サプライチェーンの脆弱性によって攻撃される可能性がある」と答えた。

　同社は、CISOの役割がDXやサイバー犯罪の増加、規制の厳格化などを背景として、急速に拡大し、デジタルの信頼を実現する上で重要な立場と指摘する。ところが、回答者の2人に1人が「高い信頼で成り立っているか、疑問」とし、3人に1人が「取締役会はCISOを重要な幹部と見なしていない」と答えていた。

　日本についても厳しい状況が判明した。サイバーリスクを定量化して取締役会でリスクを視覚的に報告している割合は43％と、世界平均の32％を上回った一方、CISOに組織とデータを守るための影響力がないとの回答は50％（世界平均36％）、取締役会はCISOを重要な幹部と見なしていないとの回答は45％（同31％）、取締役会がCISOから提示された技術的詳細を理解していないとの回答は37％（同31％）だった。

　また日本のCISOとセキュリティ部門は、セキュリティの教育や啓発、インシデント時の関係者間の調整対応、セキュリティ技術の導入、業務改革支援、規制当局の信頼関係の構築の全てにおいて、世界平均よりもあまり活躍できていない現実も浮き彫りになった。

　セキュリティ強化に必要な外部機関などとの連携や情報共有についても、日本は世界平均に比べて進んでいないことが分かった。

　調査結果を踏まえて同社は、サイバーセキュリティとプライバシーの保護を通じたデジタルの信頼構築のために以下の5つのステップが重要だと解説している。

1.サイバーセキュリティやプライバシー保護をビジネスと結び付けて扱う：
サイバーセキュリティとプライバシー保護を組織のビジネスプロセス、ガバナンス、文化に組みこむことで、コンプライアンス部門主導ではなくビジネスに不可欠な要素とする。

2.社内の協力関係を築く：
最高データ責任者（CDO）や最高プライバシー責任者（CPO）などと協力し、デジタルの信頼の確立、定着、維持に貢献する。

3.CISOの役割を再認識する：
より幅広い課題を受け入れ、ESG（環境、社会、ガバナンス）からAIの倫理に至るまでの幅広い貢献ができることを認識する。

4.経営層の支持を得る：
CISOが経営層や取締役会の支持を得ることで、信頼に関する課題の推進に貢献しやすくなり、CISOを狭義の技術的役割から組織の戦略的キーパーソンへと進化させることが重要となる。

5.エコシステムを頼る：
組織のエコシステム内の主要なパートナーを特定し、それらのパートナーと密接に連携し、信頼とレジリエンスの向上に貢献する。