セキュリティ責任者の影響力は上昇中 経営幹部が彼らに期待していることとは?:Cybersecurity Dive
Deloitte Globalの報告書によると、CISO(最高情報セキュリティ責任者)は企業リーダーシップの中でより影響力を持つ立場になっている。経営幹部が彼らに期待することとは何か。
コンサルティング企業Deloitte Globalが2024年10月21日(現地時間)に発表した報告書によると(注1)、CISO(最高情報セキュリティ責任者)は企業リーダーシップの中でより影響力を持つ立場になっているという。
CISOの影響力は上昇中 経営幹部は何を期待しているのか?
報告書によると、回答者の約3分の1は「技術関連の能力に関する戦略的な会話にCISOが参加する機会が大幅に増えた」と報告している。この報告書は、ディレクター以上の役職にある1200人のサイバー意思決定者を対象にした調査に基づいている。
また、回答者の5人に1人は「自社のCISOがCEOに直接報告している」と述べている。これは世界中の企業でサイバーセキュリティの重要性が高まっている兆候だ。ただし、セキュリティがITリーダーシップの管理下にある状態は依然として一般的で、CISOの4分の1以上はCIO(最高情報責任者)に直接報告している。
世界中でサイバーセキュリティに対する懸念が高まる中、企業がリスクをどのように管理し、増大するテクノロジー資産に対する戦略的な思考をどのように形成するかについて、経営幹部や取締役会のメンバーはCISOに期待を寄せている。
Deloitte Globalのエミリー・モスバーグ氏(サイバーリーダー)は、電子メールで次のように述べた。
「CISOの影響力が増している理由は単純である。多くの取締役会や経営幹部が潜在的な脅威やセキュリティの脆弱(ぜいじゃく)性、リスクシナリオ、レジリエンスを高めるために必要な行動について、さらなる知識を必要としている」
企業は、デジタルトランスフォーメーションやITプログラム、クラウドなどへの技術投資において、サイバーセキュリティを優先事項として位置付けている。企業間のつながりが強まるにつれて、第三者との接続の安全性を確保することがより重視されるようになった。
近年、米国証券取引委員会(SEC)が企業に対して、重大な侵害やサイバー攻撃を公表するよう義務付ける要件を導入したことにより(注2)、CISOの役割はより重要なものになった。
この規則は、米国国内に拠点を置く企業だけでなく、米国の市場で取引を実施している外国企業にも適用される。また、SECは企業に対して、年次報告書の中でサイバー戦略に関する特定の情報を開示するよう要求している。
これまで企業は重大なサイバーインシデントを政府当局に開示せず、ランサムウェアの場合は情報を積極的に隠してきた。2022年に発表された上院の報告書では(注3)、ランサムウェア攻撃や暗号通貨に基づく支払いの大多数が政府に報告されていないことが示されている。
(注1)Global Future of Cyber Survey, 4th Edition(Deloitte)
(注2、注3)SEC cyber rules ignite tension between reputation and security risk(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
“セキュリティの民主化”は実現可能か? ウィズセキュアの事業戦略から読み解く現状の課題
中堅・中小企業のセキュリティ強化が喫緊の課題となる今、専任担当者不在の企業がこれを実現するにはどうすればいいのか。ウィズセキュアがパートナー向けイベントで事業戦略を交えて、解決策を提示した。知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。