CISOの新たなカタチ？ 日本組織に合うセキュリティ責任者を考える

欧米などにおいてCISOの影響力は着々と高まり、経営幹部の一員として定着しつつある。しかし日本においてはこの動きはまだまだ難しいのが実情だ。では日本組織はどうすればCISOやそれに準ずる責任者の影響力を高められるだろうか。

[宮田健，ITmedia]

　“会議を好む取締役会もCISO（最高情報セキュリティ責任者）とは話が別”――そのようにも捉えられるレポートが公開された。

　Splunkは2025年2月12日、同社がグローバルで調査した結果をまとめた「CISOレポート」の2025年版を解説する記者説明会を開催した。同説明会では、組織内部、特にCEOが率いる取締役会におけるCISOの立ち位置について、その傾向や世界と日本での違いが語られた。

CISOは経営幹部の一員として定着、しかし今度は新たな課題が……

　Splunk Services Japanの矢崎誠二氏（セキュリティ・ストラテジスト）は「グローバルにおける調査結果ではCISOが経営幹部の一員として定着し、ビジネスの戦略的決定に関与する権限を得ている」と話す。

Splunk Services Japanの矢崎誠二氏（セキュリティ・ストラテジスト）

　従来は取締役会とCISOは別世界の人と認識され「水と油に例えられるほどだ」と矢崎氏は述べるが、2023年の調査ではCISOがCEOに直属していると答えたのが47％だったのに対し、2024年では82％と、大幅に増加していることがレポートで明らかになった。しかし、これによって新たな課題も表出するという。

　CISOが経営幹部の一員として認められると、両者は「組織を守る」というゴールでは一致しているが、収益性と株価を守る経営幹部と、データとシステムを守るCISOとの間でギャップが生まれる。調査では主要領域で取締役会との関係を「とても良好」「極めて良好」と回答した割合について、「戦略的なセキュリティ目標との整合」および「セキュリティ人材の採用とトレーニング」という項目では大きなギャップが見られた。

　矢崎氏は「それぞれ起点が違うため、ブレが発生する。それを一致させる必要がある」と話す。

CISOと取締役会との関係を両者に聞いた結果（出典：Splunk Services Japanの発表資料）

　この他、取締役会にCISOが「割と頻繁に」「ほとんどの場合」参加していると答えたのは全体の83％と高い数値であり、サイバーセキュリティの担当者が経営について一翼を担う存在となっていることが分かった。

　しかし、お互いに若干の認識のずれが発生しているのが実情だ。両者が密接になるにつれて、取締役会からは「CISOがどのような仕事をしているのか」という質問も出てくるという。

　認識のずれが大きな優先課題として、大半の時間を費やしていると考えている取り組みは両者で異なっており、CISOは「セキュリティ運用に関する技術面の対応」に時間を費やしているが、取締役会は「セキュリティの取り組みとビジネス目標との整合」と、会社の経営に携わってもらうことにフォーカスしている。つまり、取締役会が期待している部分に、CISOは応えられていないことになる。

　矢崎氏は「ソフトスキルと呼ばれる、幹部にも理解できるよう説明する能力が求められている」としつつ、「CISOがCEOに直属となり、取締役会に参加する率が急激に高くなっているため、ある程度は仕方がない部分だ」と語った。

CISOの実作業と取締役会の認識のズレ（出典：Splunk Services Japanの発表資料）

「予算不足につき削減」　その影響は本当に考えた？

　矢崎氏は続けて、「コンプライアンスがCISO個人の問題となる」と述べる。特に欧米や米国ではコンプライアンスに関連するさまざまな要件、法制度が整備されつつある。日本でも個人情報保護法などが注目されているが、同氏は「欧米の動きを見れば日本もコンプライアンスに厳しくなることは予想ができる」と指摘する。

　しかし現状はなかなか一筋縄ではいかないようだ。この調査ではコンプライアンスの問題が発生した際に「報告しないよう圧力をかけられたことがある」と回答したCISOが21％となった。また、そのような圧力をかけられたCISOの59％が「もし組織がコンプライアンス義務を無視した場合、内部告発する」と回答している。

　もう一つ、大きなギャップを生んでいるのが「サイバーセキュリティについて目標の達成に十分な予算が割り当てられている」という設問だ。取締役会は41％が「そうだ」と答えているが、CISOは29％と10ポイント以上の差が生まれている。CISOは限られた予算の中で効果的な対策を講じる必要があるが、同時にコスト削減も求められている。

　同レポートでは、予算不足の中でCISOがコスト削減を講じた結果、それによってデータ侵害などのサイバー攻撃被害を招いた割合という興味深い数字も明らかにしている。これによると、テクノロジーのアップグレードを延期した結果、「サイバー攻撃被害に遭った」と回答したCISOは62％、ビジネスイニシアチブの支援中止を削減した場合、64％が被害に遭ったという。

　予算不足によるリスクについて、矢崎氏は「攻撃は常に新しいパターンでやってくるため、アップデートが遅れることや最新に追随しないことは高いリスクを招く。取締役会がCISOを支援しないという判断をすることは低いが、そのインパクトは64％と大変高い数字が出たことは興味深い」と話した。

「予算不足のためコストを削減せよ」とよく言われるが、その代償を考えたことはあるだろうか（出典：Splunk Services Japanの発表資料）

　同調査結果を見ると、意外にも「セキュリティソリューションやツールの削減」は影響が少ないようだ。これについて矢崎氏は「重複するソリューションが多いことが原因ではないか」と指摘した。

CISOの新たなカタチ？　日本組織に合うセキュリティ責任者を考える

　ここまでの調査結果はあくまでグローバルにおけるものであり、レポートも基本的には地域に特化したものではない。CISOの人数が少ないこともあり、矢崎氏は「アジアは他の地域に比べると、CISOと取締役会の関係はやや低く、取締役会への参加頻度も低い」と述べる。

　そこで国内でCISO設置をはじめとした、セキュコンサルティングを実施しているストーンビートセキュリティの佐々木 伸彦氏（代表取締役）が登壇し、国内の組織におけるCISOの現状と課題を解説した。

ストーンビートセキュリティの佐々木 伸彦氏（代表取締役）

　国内のCISO設置率は2023年で25.8％だが、その多くが売上高1兆円以上の企業であり、未整備の企業やCISOを設置しているものの「機能していない」組織が多くを占めている。この背景には、法規制などの強制力が低いことなどが挙げられる。

　佐々木氏は「中小規模になるとCISO設置は極端に減っており、実態は厳しい。海外では取締役会に参加しつつあるCISOも、日本では距離が遠く、戦略的な役割が限定的なのが実情だ。「よくあるのが『ISMS認証を取得、更新する』という部分だけをこなして、経営の中で投資として結び付けられていないケースだ」と述べる。

佐々木氏がまとめる「海外組織と国内組織のCISOの違い」（出典：Splunk Services Japanの発表資料）

　佐々木氏は日本のCISOに向け、「ビジネスのアクセルはCIO（最高情報責任者）が担い、CISOは加速時のリスクに対してブレーキ装置を作る役割だ。ブレーキばかりでは本末転倒になるので、バランスが重要になる」と語った。

　佐々木氏は最後に「CISOは一人じゃなくてもよい。特に日本では、経営的なことに理解がある人、セキュリティの技術に詳しい人が集まり、チームプレイとして運営することも重要ではないか。加えて、専門的な知識、知見に関しては、外部の専門家を活用することも現実的だ」と問題提起した。