「CEOに業務を報告するCISOは全体のわずか5％」は何を意味するか？：Cybersecurity Dive

CISOの多くが業務を自社のCEOではなくCIOに報告している。この数字は年々減少傾向にあるという。これは何を意味するのか。

[Matt Kapko，Cybersecurity Dive]

　経営コンサルティング事業を営むHeidrick＆Struggles Internationalの調査によると（注1）、CISO（最高セキュリティ責任者）は主にCIO（最高情報責任者）に対して業務を報告しており、CEO（最高経営責任者）に報告するケースは過去数年と比較して少なくなっている。

「CEOに業務を報告するCISOは全体のわずか5％」は何を意味する？

　同社がCISOを対象に実施したグローバル調査では、CEOに直接報告する立場にあるCISOの割合は2022年の8％、2021年の11％から減少し、2023年はわずか5％だった。

　それに対して、2022年比で若干減少したものの、CISOの3分の1以上がCIOに業務を報告している。

　Heidrick＆Struggles Internationalの調査によると、CISOはその他、CTO（最高技術責任者）やCOO（最高運営責任者）、グローバルCISO、CRO（最高リスク責任者）にも業務を報告している。報告先がこのようになっていることから、CISOの役割がコンプライアンスから技術へとシフトしていることが明らかになった。

　Heidrick＆Struggles Internationalのパートナーであるスコット・トンプソン氏は「CISOの役割と責任が変化する今、チーム構造や直属の部下もそれに伴って進化する必要がある。組織が開発の早い段階でセキュリティ対策を組み込むようになるにつれて、CISOの役割はより技術的なものとなる」と話す。

　「CISOが成功するかどうかは、シニアリーダーシップにおける彼らの存在感と影響力にかかっている」（トンプソン氏）

　調査対象となったCISOの3分の2はCEOから2つ下の階層の役職であり、CEO直属の役職者に業務を報告している。

　トンプソン氏は「CISOを監督するのは依然としてCIOだが、サイバーセキュリティが進化するにつれて、これらの報告先も変化するだろう」とも述べる。

　監査委員会や取締役会に対する定期的なプレゼンテーションも含めて、より広範な企業リスクを監督する役割をCISOが担うようになると、CIOに業務を報告するCISOの数がさらに減少するとHeidrick＆Struggles Internationalは予想している。

　「2023年に特に見られた傾向として、CISOが取締役会全体や関連委員会で大きな存在感を示している点が挙げられる。CISOがCEOに直接報告できないとしても、彼らの声に耳を傾ける人が多く、CISOが組織戦略においてますます重要になることを示している」（トンプソン氏）

　調査によって、CISOの5人に3人は取締役会全体に対してプレゼンテーションを実施し、ほぼ5人に4人は特別委員会に対してプレゼンテーションしていることが分かった。

　同調査には、米国や欧州、アジア太平洋地域、オーストラリアの262人のCISOからの回答が含まれている。回答者の半数以上が年間売上高50億ドル以上の企業に勤務している。

（注1）2023 Global Chief Information Security Officer (CISO) Survey（Heidrick＆Struggles International）

原文へのリンク