検索
特集

「責任ばかり増えて大変すぎ」 CISOの5人に4人以上が役割の再定義を求めているCybersecurity Dive

Trellixの調査によると、CISOの5人に4人以上は、規制や財務リスクが職務の大部分を占めるようになったため、CISOの役割を2つの別々のポジションに分割する必要があると考えている。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 サイバーセキュリティ企業であるTrellixと調査企業であるVanson Bourneが2024年10月15日(現地時間)に発表した報告書によると(注1)、CISO(最高情報セキュリティ責任者)の5人に4人以上は、規制や財務リスクが職務の大部分を占めるようになったため、CISOの役割を2つの別々のポジションに分割する必要があると考えている。

実は2人体制がちょうどいい? CISOという役職の再定義に関する議論が進む

 この報告書は、Vanson Bourneが2024年8〜9月にかけて、米国や欧州、中東、アジア太平洋地域の500人以上のCISOを対象に実施した調査に基づいている。

 CISOの大多数は、職務を技術的かつ実務的なセキュリティの役割と、法規制の順守や役員室での情報開示に重点を置く役割に分割することを求めている。

 Trellixのハロルド・リバス氏(CISO)によると、米国証券取引委員会(SEC)やその他の機関による規制の変更は、CISOにとって一長一短のものだという。

 リバス氏は電子メールで次のように述べた。

 「それらの機関はCISOの役割を引き上げ、サイバーセキュリティを取締役会における確固たる議題に位置付けた。一方、関連する規制や法的措置が個人の責任を増大させ、CISOの役割に就く人々の新たなストレスの原因となっている」

 関係者は「SECによるインシデント報告義務や(注2)、CISOが取締役会や上層部と定期的に会合を持つことを要求するコーポレートガバナンスの広範な変化により、CISOの役割は根本的に変化しつつある」と答えた。

 最大の懸念点は、企業がサイバーセキュリティリスクを適切に開示しなかった場合に、CISOが直面する法的な危険が増大していることである。現在SECは、ソフトウェア企業であるSolarWindsと、そのCISOのティモシー・ブラウン氏に対して、2020年に発生したマルウェア「Sunburst」攻撃に先立ち、同社のサイバーリスクを投資家に適切に開示しなかったとして、民事詐欺訴訟を継続している(注3)(注4)。

 およそ10人に9人の回答者は「変化する規制環境がCISOの役割を再定義している」と述べた。5人に4人の回答者は、新しい規制に対応するために必要な時間と労力を維持するのは現実的ではないと考えている。

 調査対象の半数近くは「取締役会と毎週会合を開くようになった」と回答した。

 コンサルティング企業であるPwC USにおいてサイバーリスクおよび規制を担当するミシェル・ホートン氏(プリンシパル)は、CISOの職務を分割する必要性に異議を唱えている。同氏は分割を求めるのは、一部の企業におけるリスク管理が未成熟だからだと指摘した。

 ホートン氏は、電子メールで次のように述べた。

 「適切に機能するリスク管理や規制変更管理プログラムは、法務やサイバーセキュリティ、リスク管理、コンプライアンス、内部監査などの複数の部門が連携して実施すべきものだ。これは必ずしもCISOの役割を分割する理由にはならない」

 2024年6月にバイデン政権は、増え続けるコンプライアンス要件を整理する計画を発表した(注5)。これらの要件では、重大な攻撃の迅速な報告やサイバー回復戦略の開示、各業界における最低限のセキュリティ基準への適合が求められている。

© Industry Dive. All rights reserved.

ページトップに戻る