Splunkが「CISO年次レポート」公開、CISOに求められる能力を明らかに
海外のCISOは経営戦略にも影響力、その役職すら浸透しない日本の課題は?
2025年02月17日 07時00分更新
21%のCISOがコンプライアンス問題で圧力を経験、一方59%は自組織が義務を無視したら内部告発する構え
続いてのポイントは、「3)コンプライアンスがCISO個人の問題に」だ。
今回の調査では、「コンプライアンスの問題について報告しないよう圧力をかけられた経験がある」というCISOが21%も存在した。セキュリティインシデントが発生した場合に説明責任を負うのはCISOであり、当局の調査にも矢面に立って応じなければならない。組織は罰金を課されることもあり、CISOは職を失うこともある。そのような背景から、59%のCISOが、「自組織がコンプライアンス義務を無視したら内部告発をする」と回答している。
CISOにのしかかるコンプライアンスの問題
「4)予算の議論と説得力」については、「サイバーセキュリティの目標達成に十分な予算がある」と回答した取締役会が41%だったのに対して、CISOは29%。この結果から、セキュリティ予算への認識にずれが生じており、先述のようにCISOに説得力が求められていることがポイントとなる。
説得のために重要なのは「分かりやすい説明」だという。調査では、取締役会に対する説得力のあるアプローチとして「セキュリティをビジネスイネーブラーに位置付ける」、「サイバーリスク関連の指標や推奨事項を提示する」、「ダウンタイムコストの推定額を提示」などが挙がった。
取締役会がセキュリティ予算増増額要請で説得力があると思うアプローチ
最後のポイントは、「5)セキュリティにおけるAIは防御より攻撃が優勢」だ。AIはセキュリティにおいて、防御でも攻撃でも役立つが、CISOの53%が、AIは攻撃側に「非常に」もしくは「やや」有利に働くと回答した。「前回は防御と攻撃が拮抗していたが、今回は攻撃側に有利と考えるCISOが上回った」と矢崎氏。
なお、CISOは、生成AIがセキュリティに役立つユースケースとして、「マルウェア分析、脅威検出、アラートのエンリッチメント」、「セキュリティソフトウェアの設定基準の作成」、「脅威検出ルールの作成」などを挙げているという。調査では、「CISOと取締役会の両方にとってAIは有望な投資領域になる可能性がある」としている。
CISOが期待する生成AIのセキュリティユースケース
日本でCISO設置が進まない5つの理由と本当の問題点
このように、CISOが経営陣や取締役会の中に入りつつあることは、セキュリティが重視されていることの裏返しと言えるが、日本の状況はどうだろうか。外務省でCISO補佐官を務めるストーンビートセキュリティの創業者兼代表取締役である佐々木伸彦氏が、日本の現状と海外組織との違いを説明した。
ストーンビートセキュリティ 創業者兼代表取締役 佐々木伸彦氏
JUAS(日本情報システム・ユーザー協会)の調査によると、2023年度に日本でCISOを設置している組織は25.8%となり、2022年度の16.4%から9ポイント上昇。さらに、「(CISO設置を)検討中」とした組織は、2022年度の8.9%から2023年度は11.5%へと増加した。企業規模(売上高)別でCISOの設置率を分析したところ、年商1兆円以上は35%だったのに対し、1000億から1兆円では11.5%と大きく下がる。さらに、100億円未満では0.9%だった。
日本でCISO設置が進まない理由として、佐々木氏は「法規制などによる強制力が低い」、「適切な人材の確保が容易ではない」、「情報セキュリティ専門人材の不足」、「情報セキュリティに対する経営層の理解不足」、「組織の意識や優先度の問題」の5点を挙げる。この5つは、日本でCISOが“機能していない”理由でもあるという。
海外ではCISOが取締役会に参加するようになったが、日本と海外の差は縮まっているのか。佐々木氏は「縮まってもいないが、広がってもいない」と回答。「形としてはCISO、もしくはそれと同じ役割のポストを持つ企業は増えているが、実態が伴っていないところもある」と述べ、インシデント対応や現場との距離などの課題を挙げた。そして、「(海外との差よりも)機能していない(ことのほうが問題)」と指摘した。
海外組織と国内組織のCISOの違い
