日本のCISOは米国の半分? 打開策はあるか
海外拠点も含めた対策を進めるにあたっては、セキュリティ全体を統括し、現場と経営層の架け橋となるCISOの存在が鍵となる。しかし、日本ではCISOが設置されている企業の割合が低いことが明らかになっている。NRIセキュアテクノロジーズの調査[1]によると、米国企業の96.2%が何らかの形でCISOを設置しているのに対し、日本でCISOを設置している企業は39.4%と、米国の半分以下である。
[画像クリックで拡大]
またSplunkの調査[2]では、「サイバーセキュリティのイニシアチブ推進や目標達成に十分な予算が割り当てられている」と回答したCISOはたったの29%で、およそ70%のCISOがセキュリティ関連の予算に満足していないことが見て取れる。さらに、62%のCISOが「予算不足のためアップグレードを延期した結果、それが攻撃の成功につながっている」と回答していることからも分かるように、予算不足による対策の不備がインシデントを招きかねない。
これらの調査結果を受け、内海氏は「コンサルタントとして企業のCISOと話をしていると、予算獲得で悩んでいる方はやはり多いと感じます。そのため、取締役会で経営層に理解してもらえるよう、ロジカルに説明できるように支援することもあります」と体験談を話す。
一方、吉田氏は日々抱えている悩みとして「イオンでは、ホールディングスでルールを作ったり、リスクやトレンドを各グループ会社や海外拠点に伝えたりしていますが、各企業の予算にまで我々の部隊が介入するのは難しく、他の経営課題も踏まえた最終的な判断と対策は各社に委ねています。セキュリティ対策に関しては、どこまで各社に判断してもらうか線引きがなかなか難しいところです」と打ち明ける。こうした課題に対し、イオンではグループ内で起きたインシデント事例と再発防止策に関する情報をグループ全体に共有しているという。これにより、各社で具体的な対策方法を水平展開できるように働きかけているのだ。
また、先の調査で挙がった日本企業におけるCISOの少なさに関しては、両者とももどかしさがあり、気になるところのようだ。吉田氏は「欧米のように、企業同士がビジネスの契約をかわす時点でセキュリティチェックがあり、セキュリティを一定のレベルまで挙げないとビジネスが成り立たないといった認識が日本にも広がると、CISOの設置増加につながるかもしれません」と話す。
内海氏は、「日本でもジョブ型雇用が根付き、ITやセキュリティの専門家が増えてきたら状況も変わるかもしれませんね。そもそもセキュリティ人材が少ないので、CISOを務められる人材がいないことも課題だと思います。IT・セキュリティと経営の両方が分かる人が増えてきたら、CISOの重要性も認識されていくのかもしれないです」と分析する。
「どこまで対策すればいいか」にどう答えを出すか
実際にCISOとして業務するなかで意識していることを聞くと、吉田氏は「セキュリティはコストをかけようとするとエンドレスです。グループ会社からは『どこまでやればゴールなの?』とよく問われますが、これは大きなテーマであり、答えを出すのはなかなか難しいです」と話す。内海氏も「『ここまでやれば大丈夫というものはない』という課題は、多くの企業で共通している認識だと思います」と同意する。
ただ「『どこまでやればいいか』に答えを出そうとしている企業はいます」と内海氏は話し、切り口の1つとして“対応プロセスの成熟度”を挙げる。インシデントや問題が発生したとしても、その対応を改善のプロセスに落とし込めるよう仕組み化している企業は、有事の立て直しも迅速化できていると話す。もう1つの切り口は“対策の実装レベル”だ。EDRやASM、多要素認証などの対策をレベル分けすることで、セキュリティ対策の実効性がどれほど高まったかを評価する。このように、先進的な企業では、プロセスの成熟度や対策の実装レベルを客観的に評価できる指標をもってKPIや目標を定め、本社と海外拠点で進展を評価しつつ、取り組みを調整しているのだ。
今回の議論を通して、吉田氏は「セキュリティを担当しているとベンダーの方と話す機会は多いものの、他社がどのようなセキュリティ対策をしているのかを直接知る機会は少ないですし、CISOやセキュリティ担当者同士しか話せない悩みもあると思うので、今日は貴重な機会になりました」と話す。対して内海氏は「吉田さんとは管轄する範囲が大きく異なりますが、悩みは共通しているのだということが分かり、勉強になりました」と感想を述べ、ディスカッションを終えた。
[1] 『NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施』(2022年12月13日、NRIセキュアテクノロジーズ株式会社)を参照
