ニュース
経営幹部として定着しつつあるCISO、その現状と課題は?――Splunkが解説
2025年2月13日 11:45
Splunk Services Japan合同会社は12日、年次グローバル調査「CISOレポート 2025」について説明会を開催した。同レポートは、オーストラリア、フランス、ドイツ、イタリア、インド、日本、ニュージーランド、シンガポール、英国、米国におけるCISO(最高情報セキュリティ責任者)500人、および取締役100人を対象に調査したものだ。
調査結果として、Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏は、「CISOは経営幹部の一員として定着してきている」と語る。これは、調査対象となったCISOの82%がCEOの直属になっており、2023年の47%から大幅に増加したことからも分かる。また今回の調査では、83%のCISOが、取締役会に「割と頻繁」または「ほとんどの場合」参加していると回答した。
ただし、「CISOは取締役会との関係を過大評価している」と矢崎氏はいう。取締役会が考える最重要課題と、CISOが重視するサイバーセキュリティとの考えにギャップが生まれているというのだ。例えば、CISOの61%は、戦略的なセキュリティ計画・目標に対する取り組みが良好だと回答しているが、取締役会では良好だとの回答が43%にとどまっている。
取締役会にCISOが参加するようになったことで、取締役会からはCISOの時間の使い方にも関心が集まるようになった。取締役の52%は、CISOがセキュリティの取り組みをビジネス目標と整合させることに多くの時間を費やしていると考えているが、CISOでそのように回答した割合は34%にとどまっており、実際には多くの時間をサイバーセキュリティの技術面に費やしているという。矢崎氏は、「企業の売上を伸ばすためにCISOがどう関わっていくかが、これからの課題だ」としている。
また取締役会では、41%が、サイバーセキュリティ目標の達成に十分な予算が割り当てられていると考えているが、同様に考えるCISOはわずか29%だった。CISOの64%は、現在の脅威や規制の状況を踏まえると、セキュリティ対策が不十分だと懸念しており、「テクノロジーのアップグレードを延期するといったコスト削減によって、データ侵害や攻撃の成功に至った割合が62%にのぼっている。アップデートが遅れることによるリスクは非常に高い」と矢崎氏は警告、「CISOには、分かりやすく取締役会に説明して予算を獲得するといったソフトスキルが重要になる」とした。
日本で進まぬCISOの設置
説明会では、ストーンビートセキュリティ株式会社 代表取締役の佐々木伸彦氏も登壇し、日本国内でのCISOの設置状況について解説した。佐々木氏は、外務省のCISO補佐官も兼務する人物だ。
佐々木氏によると、2023年度においてCISOを設置済みの国内企業は25.8%で、前年度より9.4ポイント増加した。ただし、「CISOを設置してはいるものの、整備されていない組織や機能していない組織も存在する」と佐々木氏。また、売上高1兆円以上の企業では、CISOを設置済みとする割合が7割にのぼっているが、1000億円以下の企業では2割にとどまっており、「中小企業では、技術に理解がありつつ、経営にも参画して影響を出せるような適任者がいない」としている。
適任者がいないこと以外にも、CISOの設置が進まない要因について佐々木氏は、「日本ではCISO設置を求める法規制などもなく、強制力が弱い。また、情報セキュリティに対する経営層の理解も不足しており、意識や優先度も低いのが現状だ」と語る。
また、国内組織のCISOの特徴としては、「経営層との距離が遠く、戦略的な役割も限定的で、技術的な業務に重点を置いている」と佐々木氏。また、大手企業ではセキュリティを投資とみなす意識が高まってきているが、いまだセキュリティはコストだと考える傾向が強いという。さらに佐々木氏は、「コンプライアンス対応の厳格さが海外に比べて低いほか、リスク対応のための予算とリソース、人材が不足している点は大きな課題だ」と述べている。
こうした状況を踏まえ佐々木氏は、国内の組織でCISOの位置づけを高め、情報セキュリティリスクを経営課題として可視化する必要があること、またセキュリティ投資のROIを明確にし、対策推進に必要な予算を確保するべきだと説く。その上で佐々木氏は、「日本には情報セキュリティに精通した経営層が多くないため、情報セキュリティに精通した複数の担当者によるチームでCISO機能を果たすことも検討すべきだろう。社内で必要な機能を満たせない場合は、外部の専門家を活用することも現実的な解決策だ」とした。