CISOと他の経営幹部の間で大きな認識ギャップが
世界各国のCISO 500人および取締役100人を対象に行われた今回の調査。まずはグローバル全体での動向を見ていこう。Splunkのセキュリティ・ストラテジストである矢崎誠二氏は、最初に注目すべき点として「CISOが経営幹部の一員として定着」したことを挙げる。今やほとんどのCISOがビジネスの戦略的決定に関与する権限を得ており、取締役会にも頻繁に参加しているようだ。
ただし、CISOと他の経営幹部との間では、いくつかの認識においてギャップがあることも明らかに。たとえば調査の中では、以下3つの主要領域において、CISOと取締役会の中でそれぞれ「とても良好」「極めて良好」と評価した回答者の割合が記されている。
- 戦略的目標(CISO:61%/取締役会:43%)
- セキュリティマイルストーンの進捗の報告(CISO:44%/取締役会:29%)
- 採用とトレーニング(CISO:51%/取締役会:21%)
いずれの領域においても、大きなギャップがあることがわかる。サイバーセキュリティが経営課題として浸透してきたとはいえ、ビジネスリーダーとセキュリティに精通したCISOとでは、セキュリティに対する認識・考え方にどうしても違いが生じることは想像に容易い。そうした小さなズレが修正されないまま議論や取り組みが進んでいくことが、大きなギャップへとつながるのだという。矢崎氏は、「取締役会とCISOができるだけ早い段階で、正確に目的・ゴールを一致させることが重要だ」と指摘する。
Splunk Services Japan合同会社 セキュリティ・ストラテジスト
矢崎誠二氏
では、どう認識のズレを解消していけばよいのか。まず矢崎氏は、CISOと取締役会の課題に対する優先順位の付け方の違いに言及した。CISOが優先課題として挙げる中には技術力に関するものも多いが、取締役会はその課題が「収益拡大にいかに貢献するか」という視点で優先順位を付ける傾向にある。
実際、調査の中でも「取締役会の52%は、セキュリティの取り組みをビジネス目標と整合させることに多くの時間を費やしている一方で、CISOでそのように回答した割合は34%にとどまる」という結果が出ている。実際には、CISOは取締役会が考えているよりも遥かに多くの時間を技術面に費やしているということだ。
矢崎氏は、「CISOはここ数年で急に取締役会に参加するようになった存在であるため、こうしたギャップが生じることはある程度仕方ないのではないか」と私見を述べつつも、CISOは自社のセキュリティ課題について取締役会に説明し、各セキュリティ業務がビジネス全体の中でどのような役割・意義を持つのかを示すことが必要だとした。
「他の経営幹部に対して『ランサムウェアが~、サプライチェーンが~』とテクニカルな話をしたところで通じるわけがありませんよね。それらをいかにわかりやすく説明し、ビジネス目標とCISOが描くゴールを一致させていくかが、今のCISOに求められている能力だといえます」(矢崎氏)
