日本でCISO設置が進まない理由、海外組織と何が違う?
日本国内のCISOの現状はどうなっているのだろうか。ここからは、ストーンビートセキュリティの代表取締役(設立者)であり、外務省でCISO補佐官も務める佐々木伸彦氏が解説した。
佐々木伸彦氏
まず、国内組織におけるCISOの設置状況について。2024年に日本情報システム・ユーザー協会(JUAS)が発表した報告書によれば、CISOを「設置済み」の企業は2022年度の時点では16.4%だった。それが2023年度になると25.8%に増えているのだが、それでもまだ「微増」といったところで、CISO設置はなかなか進んでいないのが現状だ。また、設置済みの企業の中でも、CISOが上手く機能している組織はほんの一握りだという。
売上高別では、設置状況に明らかな傾向が見られる。売上高1兆円以上の企業に絞った場合、CISOを「単独で設置済み」だという割合は35.0%にのぼる(2023年度時点)。さらに、「CIOと兼務で設置」と回答した割合も32.5%と出ており、合わせると60%以上の企業が何らかの形でCISOを設置していることになる。
この調査結果そのものは、そう驚くような内容ではないだろう。上場企業のほうがガイドライン対応やサプライチェーンマネジメント、経営ガバナンスにリソースを費やしているのは当然で、豊富なスキルを備えた人材も数多く抱えている。反対に中小企業では、そもそもセキュリティの責任者になれるような人がいないというのが日本では一般的だ。「昨今、サイバー攻撃の高度化・深刻化により、海外ではCISOを設置する組織が増加しているが、日本は全体的に見ると未整備、あるいは機能していないという組織が多い」と佐々木氏は述べた。
なぜ日本ではCISOの設置が進まない(または機能しない)のか。佐々木氏は複数の要因を挙げた。まずは、法規制の強制力の弱さだ。ガイドラインなどはあるものの、海外に比べると国からの要求やレギュレーションに強制力がない点が、CISOの浸透を鈍らせているという。
次に、適任者の不足。セキュリティの技術的なベースを持っていて、かつ“経営・ビジネスのためのセキュリティ”を考えられる人はやはり少ないと佐々木氏。とはいえ、そもそも情報セキュリティに精通する専門人材の不足も日本企業が共通して抱える課題だ。さらには、経営層のセキュリティに対する理解不足もよく指摘されている。これらの課題は、最終的に組織のセキュリティに対する意識や優先度の低さにつながってしまう。
佐々木氏は最終的に、海外の組織と国内の組織におけるCISOの違いを次のようにまとめた。
