セキュリティ責任の所在に曖昧さ、37%が最終責任者を明示できず
FastlyがCISOの説明責任に関する調査を発表
エッジクラウドプラットフォームを展開するファストリー株式会社(以下:Fastly)は、企業における最高情報セキュリティ責任者(CISO)の責務と説明責任に関する調査結果を発表した。調査は日本を含む複数の国を対象に行われ、組織のガバナンス体制や法的支援、取締役会レベルでの対応状況に焦点を当てている。
調査によると、日本企業の86%がCISOの責務拡大への懸念に対処するため、過去1年間でポリシーの変更を行ったと回答した。一方で、セキュリティインシデントの発生時に「誰が最終責任者か不明確である」と答えた企業も37%に上り、責任の所在を巡る課題が浮き彫りとなっている。
「日本企業におけるセキュリティガバナンスの現状(%)」
- CISOの責務に関するポリシー変更:86%
- 最終責任者が不明確:37%
- CISOの取締役会関与強化:32%
SECの規制強化が責任体制の見直しに影響
調査背景には、2023年後半に米国証券取引委員会(SEC)が打ち出した新たなサイバーセキュリティ関連規制がある。企業に対し、インシデントの情報開示やリスク管理の透明性が求められる中、CISO個人への法的責任の集中に対する懸念が強まっている。
FastlyのCISOであるMarshall Erwin氏は、「企業が責任を可視化する動きは前進と評価できるが、説明責任は単なる法的防衛ではなく、セキュリティ強化の機会と捉えるべきである」と指摘している。また、避けがたいインシデントと、防止可能なインシデントを区別する基準を、規制当局が明確にする必要性にも言及した。
法的支援の拡充と組織レベルでの関与
調査結果では、日本企業の29%が監督機関によるセキュリティ文書の精査強化に取り組んでおり、32%がサイバーセキュリティチームへの法的支援(賠償責任保険など)を拡充している。取締役会においても、CISOの戦略的関与が拡大しており、全体の32%が過去1年でその参加を強化していると答えている。
こうした動きは、企業がリスクを「一個人の責任」に帰属させるのではなく、組織的な意思決定として捉える重要性を示している。
CISOは判断者ではなくリスク提起者
Fastly日本法人カントリー・マネージャーの今野芳弘氏は、「CISOは全ての最終判断を行う立場ではない」とし、取締役会がCISOの提起したリスクに対して、予算やリソースを適切に配分することが、説明責任の出発点であると強調した。
また、Fastlyのソリューションでは、インシデント検出から30分以内に専門家が関与する体制を構築しており、迅速かつ正確な判断を支援している。このような体制は、単なる防御にとどまらず、実効的な運用支援として機能する。
責任共有のための文化と基準づくりが必要
本調査は、企業における説明責任のあり方を再考する契機となる内容であり、単なるコンプライアンス対策を超えた、実効性のあるガバナンス体制の構築が求められている。
今後、企業はCISOの責任をリスクと見なすのではなく、セキュリティ改革を牽引する「変革の核」として捉え、明確な役割分担と意思決定プロセスを整備することが重要である。
レポートはこちらからダウンロード可能である。
