CISOの役割を誤解する日本企業

グローバルエッジクラウドプラットフォームをリードする Fastly, Inc. (NYSE : FSLY) は、日本企業における最高情報セキュリティ責任者（CISO）の採用および意識に関する調査結果を発表した。調査によると、日本企業の約半数（46%）は CISO を採用しており、そのうちの 3 分の1 近くが過去 12 か月の間に CISO を採用した (13%) ことが明らかになった。

また、12% の日本企業は今後12 か月間に CISO を採用予定と回答している。一方、全体の 3 分の 1 以上は今後 CISO 採用予定がない（21%）もしくはわからない（15%）と回答している。

回答した日本企業の 60% が翌年のサイバーセキュリティ予算を増額予定など、セキュリティに対する意識は高まってきている一方、世界平均（70%）と比較すると日本国内での CISO の採用が進んでいないのが現状。実際、日本での CISO 採用率（46%）は調査が実施された国の中で最も低い結果であった。

また、CISO に求められる役割は業界内で一貫しておらず、本調査で回答した日本企業の IT 責任者の間でも CISO の役割に対する理解不足が浮き彫りとなった。

IT 責任者の 45% が、CISO は IT の全領域に関して深い理解があるべきと考えており、また、法務や運用において CISO に課されている責任が重すぎると感じている回答者の割合は 19 %であった。

CISO の役割をめぐる理解不足は、その有用性に対する印象に影響を及ぼしている。IT 責任者の 10% が、CISO は過重労働を強いられ、十分な報酬を得ていないと考えており、14% がコストパフォーマンスが悪いと見なしている。

Fastly 日本法人カントリー・マネージャーの今野 芳弘は、次のように述べている。「かつてないサイバーセキュリティの課題に直面するなか、多くの企業はサイバーセキュリティを統括できる専門家の採用に向けた取り組みを強化しています。一方、今回の調査では、CISO という役職が実際に何を意味するのか、いまだに見解が一致していないことが明らかになりました。このように考え方に相違が見られるのは、組織のセキュリティ体制における課題や脅威の高度化により、近年 CISO の役割が変化している実態を浮き彫りにしています。従来、CISO の役割は IT とリスク管理の範囲に限られていました。しかし近年は次第に組織のサイバーセキュリティ戦略の方向性に対して責任を担うビジネスリーダーとして見られるようになり、これが CISO の役割に関する理解不足を招いていると考えられます。今後 CISO の役職を効果的に機能させるには、IT 部門の間で理解がより深まるよう組織が取り組んでいく必要があるでしょう。」

Fastly は、レポート「迫られる急速な対応 : 組織のサイバーセキュリティ体制がビジネスの収益に影響をもたらす理由」で、世界の IT 責任者約 1,500人を対象にセキュリティ関連の投資と計画に関して調査し、企業がセキュリティ体制を強化する方法について具体的なアドバイスを提供している。レポートはこちらからダウンロードが可能である。

調査について

本調査は、2023 年 8 月 〜10 月に市場調査会社 Sapio Research が北米、欧州、アジア太平洋地域、日本において、複数の産業にわたる大規模組織の IT 責任者 1,484 名を対象に実施された。本調査には、従業員数が500人を超える日本組織の IT 責任者 215 名が含まれる。

出典：Fastly 調査：日本企業の約半数が CISO を採用しているものの、その役割はいまだに広く誤解されていることが明らかに