今後は“Business CISO”が爆誕？ リーダーに求められる変化：Cybersecurity Dive

規制当局がコンプライアンス強化を推進する中、CISOをはじめとしたセキュリティリーダーたちには新たな役割が求められるようになっている。一体どのような役割なのだろうか。

[David Jones，Cybersecurity Dive]

　調査企業であるIANS ResearchとArtico Searchが2024年11月に発表した報告書によると（注1）、規制順守に関するプレッシャーの高まりを理由として、セキュリティを専門とするリーダーを中心にチームを拡大する企業が増えている。

今後は“Business CISO”が爆誕？　リーダーに求められる変化

　年間の売上高が60億ドル以上の企業の大半において、セキュリティチームは50人以上のメンバーで構成されている。また、セキュリティオペレーションやリスクコンプライアンス、製品セキュリティを専門とする個別のチームも存在する。これらのグループのCISO（最高情報セキュリティ責任者）の5人に2人以上は、後継者となり得る副CISOを擁している。

　新しい人材を募集する場合、多くのCISOは企業の他部門との連携や規制順守の要求を管理するため、副CISOやスタッフ責任者、ビジネスを専門とするCISOを含む重要な専門家の採用を希望している。

　サイバー攻撃が巧妙になり、事業の中断や規制当局による監視、訴訟、財務に対する直接的な影響のリスクに大企業がさらされるようになり、企業におけるCISOの役割は重要性と認知度を増してきた。

　IANSのニック・カコロフスキー氏（シニアリサーチディレクター）は「Cybersecurity Dive」に対して次のように語った。

　「CISOはデジタルリスク領域の大部分を管理する中心人物となっているだけでなく、ビジネスにおいて、それらの領域に関する対話をリードする人物でもある。そのためさまざまな機能におけるCISOの責任がますます増大している」

　CISOは現在、経営幹部にサイバーリスクを報告する責任を負っており、取締役会と定期的にやりとりすることも増えている。CISOは重大なインシデントや身代金の支払いについて、連邦および一部の州の規制当局に報告することも義務付けられている。

　サイバーセキュリティ事業を営むTrellixが2024年10月に発表した報告書によると、世界のCISOの5人に4人はインシデント報告に関する要求の高まりに対応するためにCISOの役割を分割し（注2）、ビジネスを専門とするCISOを配置することを望んでいるという。

　連邦政府当局は、コンプライアンスの要求が増加する中で、手続きを合理化する作業を進めており（注3）、複数の連邦機関による重複する要求を減らせるように努めている。この取り組みによって単一のインシデントをさまざまな機関と共有できるようになる。

（注1）Scale and Build a Resilient Security Team - The Leadership and Org Report is Live!（IANS）
（注2）Majority of global CISOs want to split roles as regulatory burdens grow（Cybersecurity Dive）
（注3）National cyber director calls for streamlined security regulations（Cybersecurity Dive）

原文へのリンク