CISOが経営に直接関与し始めている傾向が明らかに–Splunk調査
今回は「CISOが経営に直接関与し始めている傾向が明らかに–Splunk調査」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Splunk Services Japanは、米国で1月に発表された「CISOレポート」(2025年版)に関する説明会を開催した。同レポートはOxford Economicsと共同で作成されたもので、2024年6~7月にOxford Economicsがオーストラリア、フランス、ドイツ、イタリア、インド、日本、ニュージーランド、シンガポール、英国、米国の10カ国の最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)または同等のセキュリティリーダー(500人)と取締役員(100人)の計600人を対象に実施した調査に基づく。
同社 セキュリティ・ストラテジストの矢崎誠二氏は「CISOが経営幹部の一員として定着」してきたと指摘。「83%のCISOが、『割と頻繁』または『ほとんどの場合』に取締役会に参加している」「82%のCISOが最高経営責任者(CEO)に直属していると回答しており、2023年の47%から大幅に増加している」という調査結果を紹介した。
個人的には“CxO”という肩書の人々は「経営層」に当たると思っていたが、矢崎氏によると必ずしも経営層とは限らず、CISOであっても取締役会のメンバーではない例も多かったという。調査結果では「CEOの直属かどうか」が問われているが、CEO直属の幹部が取締役会に参加すると考えると、2023年には経営層と呼べるCISOは47%しかいなかったが、2024年には82%にまで増加したと理解できる。
矢崎氏は、CISOと取締役会の間に生じている認識の違いについても紹介。CISOはこれまで同様サイバーセキュリティの技術面に注力している一方、取締役会のほかのメンバーは「ビジネスの支援、つまりセキュリティの取り組みをビジネス目標と整合させること」に注力してほしいと望んでいるという。とはいえ、そもそもセキュリティが経営課題として取り上げられない状況と比べれば、同じ取締役会のメンバーとして議論に参加できるようになってきたことは大きな進歩といえ、こうした認識の違いについても改善が進むと期待される。
取締役会におけるCISOとそれ以外のメンバーの間での認識の違いが顕著に現れる要素としては、やはり予算の問題が興味深い。レポートでは、「サイバーセキュリティイニシアチブの推進やセキュリティ目標の達成に十分な予算が割り当てられている」と回答したCISOは29%にとどまる一方、ほかの取締役員では41%がサイバーセキュリティ予算は適切だと考えているという。
この結果、多くのCISOはセキュリティ関連予算の削減に取り組まざるを得なくなるわけだが、その手段として「テクノロジーのアップグレードの延期」を実施したCISOは52%で、その結果として「データ侵害や攻撃の成功に至った」割合は62%に達したという。
一方、「セキュリティソリューションやツールの削減」を実施したCISOは50%だったが、これがデータ侵害や攻撃の成功につながったという回答は19%にとどまる。この理由として矢崎氏は「セキュリティソリューションには機能が重複していることが多いためではないか」としている。
「ビジネスイシニシアチブの支援中止」という手段を選択したCISOは18%にとどまるが、その結果データ侵害や攻撃成功に至ったとの回答は64%に上るため、コスト削減策としてこの手段を実行するのは極めてリスクが高いことが伺える。
ゲストスピーカーとして、ストーンビートセキュリティ 代表取締役で2024年から外務省 CISO補佐官も務めている佐々木伸彦氏が「国内組織におけるCISOの現状と課題」について解説した。
同氏は、海外ではサイバー攻撃の高度化・深刻化などを受けてCISOを設置する組織が増加している一方、日本では「未整備」または「機能していない」組織が多いと指摘し、その理由として「法規制などによる強制力が低い」「適切な人材の確保が容易ではない」「情報セキュリティの専門人材の不足」「情報セキュリティに対する経営層の理解不足」「組織の意識や優先度の問題」などを挙げる。
海外組織と比較した場合の日本のCISOの特徴として「経営層との距離が遠く、戦略的な役割が限定的(技術的な業務に重点)」「サイバーセキュリティを投資ではなく『コスト』とみなす傾向が強い」「コンプライアンス対応の厳格さが海外に比べて低い」「リスク対応のための予算とリソース不足、人材不足が顕著」といった課題を挙げた。
こうした認識を踏まえて佐々木氏は、国内組織のCISO(あるいは経営層)が取るべきアクションとして「CISOの位置付けを高め、取締役会に関与する(影響力を高める)」「情報セキュリティリスクを経営課題として可視化」「セキュリティ投資の投資利益率(ROI)を明確にし、対策推進に必要な予算を確保」などの対策を提言した。
さらに人材確保の困難さを踏まえた上で、情報セキュリティにも経営にも明るい人材を探すだけでなく、責任者となるCISOの下で求められる機能を果たす「チーム」を組織して対応したり、さらには外部の専門家を活用したりするなど、さまざまな現実解を探ることも必要ではないかと述べた。