Splunkが「CISO年次レポート」公開、CISOに求められる能力を明らかに
海外のCISOは経営戦略にも影響力、その役職すら浸透しない日本の課題は?
2025年02月17日 07時00分更新
日本では、4社に1社しか設置されていないCISO(最高情報セキュリティ責任者)職。一方で、海外ではCISOが経営幹部として取締役会に出席するなど、ビジネスの意思決定に影響を与えつつある。ただし、そこには「取締役会との認識のギャップ」などの課題もある――。
Cisco傘下のSplunk日本法人であるSplunk Services Japanは、2025年2月12日、年次レポート「CISOレポート 2025」を発表した。日本や米国、シンガポールなど世界10カ国のCISO(CSO、セキュリティリーダー含む)500人および取締役100人を対象に、2024年6月から7月にかけて実施した調査となる。
Splunkのセキュリティ・ストラテジストである矢崎誠二氏は、今年の調査結果から以下の5つをポイントを挙げた。
1)CISOが経営幹部の一員として定着
2)取締役会とCISOの認識のずれとその解消
3)コンプライアンスがCISO個人の問題に
4)予算の議論と説得力
5)セキュリティにおけるAIは防御より攻撃が優勢
Splunk セキュリティ・ストラテジスト 矢崎誠二氏
CISOには、コミュニケーション力やビジネス感覚、コラボレーション力も必要
調査のポイントとして挙がった「1)CISOが経営幹部の一員として定着」と「2)取締役会とCISOの認識のずれとその解消」は、つながりが深い。83%のCISOが、取締役会に「割と頻繁」もしくは「ほとんどの場合に」参加していると回答。さらに、CEO直属のCISOは82%と、2023年の47%から大きく増加しており、「極めて大きな変化」と矢崎氏は述べる。
多くのCISOが、取締役会に参加してビジネス上の意思決定に関与しているが、CISOと取締役会の関係については双方で見解が異なる。CISOの中核的な領域において、 CISOは取締役会よりも良い関係を築いていると考えている。例えば、「戦略的なセキュリティ目標との整合」について、「良好」と回答した比率は、CISOは61%であるのに対し、取締役会は43%に。「セキュリティ人材の採用とトレーニング」について「良好」とする回答は、CISOが51%、取締役会は21%と開きが出ている。
さらに、CISOと取締役会で認識のずれが大きい優先課題として、「最新テクノロジーによるイノベーション」、「セキュリティ担当者のスキル向上やリスキリング」、「収入拡大につながるイニシアティブへの貢献」の3つが挙げられた。これらは、CISOの方が「非常に重要」、「最重要」とする比率が、取締役会の比率より高くなった。
優先課題にずれが生じるCISOと取締役会
また、CISOおよびセキュリティチームが目標達成に向けて何に時間と労力を費やすべきかについても意見が分かれた。取締役会の52%が「CISOはセキュリティの取り組みとビジネス目標の整合に多くの時間を割いている」と考えているが、CISOの回答は34%にとどまる。逆に、「セキュリティ運用に関する技術面の対応に時間を割いている」と考えるのは、取締役会は32%に対してCISOは58%となった。
このような認識のずれに対して、CISOには、説得力などソフトスキルが重要になると矢崎氏は指摘する。レポートでは、CISOが身につけるべき最重要スキルとして、「リーダーシップ」などに並んで「コミュニケーション」、「ビジネス感覚」、「コラボレーション」などが挙がった。
なお、日本を含むアジア太平洋地域では他の地域と比べてCISOと取締役会の関係が弱く、サイバーセキュリティイニシアティブの(取締役会からの)支持や予算の増額の説得があまりうまくいっていないという。例えば、同地域で、今後3年でサイバーセキュリティへの投資を増額することを支持すると回答した取締役員は18%となり、これは全地域の平均である27%を下回った。
