経営層とは溝も？ それでもCISOがセキュリティリスクを“正直に”吐露する理由：Cybersecurity Dive

Proofpointが公開した年次レポートによると、セキュリティリスクが高まっていると答えたCISOの割合は増加していることが分かった。その背景で、CISOにはある変化が起きていた。

[David Jones，Cybersecurity Dive]

　セキュリティベンダーProofpointは2025年8月26日（米国時間）、年次調査レポート「Voice of the CISO 2025」を公開した（注1）。同レポートによると、CISO（最高情報セキュリティ責任者）はサイバー攻撃のリスクに対する懸念を強めている。2024年に重大なデータ侵害を経験したと回答するCISOも増加している。

　Voice of the CISO 2025の調査は2025年3月、調査会社Censuswideが実施した。対象者は、従業員1000人以上を抱える16カ国の企業でCISOを務める1600人だ。

セキュリティリスクは“本当に”高まっている？　その背景にあるCISOの変化とは

　レポートによると、2024年に重大な機密情報の漏えいを経験したと答えたCISOは66％で、2023年の46％から増加した。さらに、CISOの76％は2025年中に重大なサイバー攻撃を受けるリスクがあると危惧していることが分かった。

　Proofpointはこの動きについて、リスクの高まりだけでなく、CISOに起きているある変化が関係していると指摘する。

　「CISOは、規制当局による監視の強化や取締役会の期待を受け、より透明性の高いコミュニケーションや業務遂行を心掛けるようになっている」。Proofpointのパトリック・ジョイス氏（グローバルレジデントCISO）はCybersecurity Diveにこう説明する。

　レポートからは、CISOがレジリエンスや事業の継続性に懸念を強めていることがうかがえる。CISOの67％は、自社の「セキュリティカルチャー」に自信を持っていると回答した。一方、回答者の58％は攻撃への備えが不十分だと感じていると答えた。セキュリティカルチャーは、組織の人員が自組織のセキュリティを重視する上での前提となる信念や価値観、態度の総体だ。

　調査では、CISOの66％が機密データの回復や業務再開のために身代金を支払う意思があると答えた。

　サイバー攻撃手法の高度化、件数の増加が進む中、CISOに対する社内からの監視の目やプレッシャーは増大する一方だ。レポートによると、自社の取締役会とセキュリティリスクについて合意していると答えたCISOは64％で、2024年の84%から減少した。

　「取締役会が自社のセキュリティに無関心になったわけではない。実際には、サイバー攻撃を受けた後の企業価値が最大の関心事となっている。これは大きな変化だ」。ジョイス氏はこう述べる。続けて、「しかし、優先順位が高くなったからといって、取締役会や経営幹部による継続的な関与や、リソース配分が増えるというわけではない」と指摘している。

（注1）Proofpoint’s 2025 Voice of the CISO Report Reveals Heightened AI Risk, Record CISO Burnout, and the Persistent People Problem in Cybersecurity（Proofpoint）

原文へのリンク