深刻なCISO不足到来か？ 3600人に聞いたインシデント対応体制に見る課題：CIO Dive

セキュリティインシデントの報告体制は本当のところどうなっているのか。3600人のセキュリティ専門家に聞いた「正解」は。

[Samantha Schwartz，CIO Dive]

　ランサムウェア被害が増大する中、ITとサイバーセキュリティは裏方としての機能を超えて事業継続の中核を担いつつある。今やセキュリティの崩壊はビジネスの崩壊も招くと言えるだろう。

　こうした現状の中、企業はインシデントに対してスピーディーに対処できるセキュリティ体制を構築しつつ、ビジネスとの折り合いもつけることが求められている。システムやセキュリティ、ITガバナンスなどの情報を提供する国際的な団体ISACAが発表したセキュリティ運用に関する調査「State of Cybersecurity 2021 Part 2」（注1）からその実態を見ていこう。

　同調査は、ISACAとITベンダーのHCL Technologiesが共同で実施し、ISACA認定の情報セキュリティの国際的資格「公認情報セキュリティマネジャー」を取得する3600人以上のサイバーセキュリティ専門家を対象としている。

誰に報告するか、割れるセキュリティプロの行動、効率が良い「正解」はどれか

　同調査によれば、脅威状況についてセキュリティチームの48％がCISO（最高情報セキュリティ責任者）に、25％がCIO（最高情報責任者）に、12％がCEO（最高経営責任者）に直接レポートすることが判明した。