役割・責任の拡大に苦戦するCISO……経営層や他部門との共通言語・共通認識は作れているか？──Splunk

　Cisco（シスコ）傘下であるSplunkの日本法人Splunk Services Japanは、年次グローバル調査『CISOレポート 2026』の結果発表会を行った。発表には、同社のセキュリティストラテジスト 矢崎誠二氏が登壇した。

　まず新たなトレンドとして触れられたのは、CISO（最高情報セキュリティ責任者）の役割の拡大についてだ。実際、従来の情報セキュリティに加え、AIの普及によるコンプライアンスや規制、データプライバシーへの対応といったガバナンス整備に追われているセキュリティ責任者の方は多いだろう。さらにはシステムやネットワークの保護だけでなく、安全なソフトウェア開発（DevSecOps）の管轄がCISOに任されるようになった組織も多いようだ。ソフトウェアサプライチェーンや製品セキュリティの規制・要求対応を背景としたトレンドである。

　加えて、経営層や他部門との調整・コミュニケーションも、CISOの重要な責務となっている。CFO（最高財務責任者）とは、セキュリティへの投資計画やKPIの策定、予算確保のための対話が必要だ。そしてCLO（最高法務責任者）とは、AIやデータ保護の法規制対応、ガバナンス、法的観点から見たセキュリティ対策で協力しなければいけない。

　ただし、相変わらずサイバーセキュリティに関する知識・理解のギャップによって経営層や他部門との連携に苦しんでいるCISOが多いと矢崎氏。単なる知識不足だけでなく、立場や役割ごとに異なるリスク選好度、ビジネス成果におけるセキュリティの役割に対する認識の齟齬、他部門との統合的なワークフローの欠如などに起因する問題だという。その解消策としては、「データ」がカギを握ると同氏。誰が見てもわかりやすい数字やデータ、コンテキストは組織の“共通言語”となるからだ。

　セキュリティ業務へのAIの導入もトレンドだ。セキュリティベンダーからは続々とセキュリティ業務を支援するAI機能やAIエージェントが発表されており、日本の組織でも必然的に実装が進んでいくだろう。反復作業や煩雑な業務を自動化・自律化し、セキュリティチームや担当者の能力やリソースを増幅してくれるAIに期待が集まっていることは言うまでもない。

　実際、AIエージェントに対する期待として、調査に協力したCISOからは以下が挙げられたという。

• レビューできるデータの量が増える
• 相関付けと対応のスピードが向上する
• セキュリティROIが改善する
• 人材不足を補える
• アナリストの正確性が向上する
• レベル1セキュリティチームの一部の機能を代替する

　ただしAIを導入するうえで、その効果を測定する仕組みづくりを欠かしてはならない。Splunkの調査によれば、いまだ多くのCISOが、従来用いてきたMTTD（平均検出時間）やMTTR（平均対応時間）などのメトリクスをAIの価値定量化にも使っているという。AI戦略の成熟度が高まれば、これだけでは不十分になるとのことだ。ではどうするか。解決手段はやはりAIだ。AIで検出品質やリスクスコア、コンプライアンス状況をより適切に測定することで、AIの効果をより正確に評価できるようになるとしている。

　これができるようになれば、AIだけでなくセキュリティ全体の効果を測定・評価する精度も向上するだろう。CEOやCFO、さらには他部門でも理解しやすい、ビジネス戦略・ビジネス価値と結びついたセキュリティ効果やセキュリティ戦略の説明も可能となる。CISOにとっては、対策の実施や予算の確保だけでなく、自身の取り組みの正当性を主張できるメリットもある。

　AIに関するCISOの懸念トップ3は、①情報漏えい、②シャドーAI、③ハルシネーションの影響と、概ね想像に難くない結果だった。ただし、「AIのリスク管理と対策が新たなアジェンダに加わったことで、CISOが有事の責任を負う（≒解雇される、処分される）リスクが高まった」と矢崎氏。世界中のCISOが、環境整備や対策手段を必死になって模索していると語った。

　こうしたテクノロジー環境の変化が著しい昨今だが、今年も引き続きCISOの関心はテクノロジーそのものよりも「人材」にあるようだ。人員やスキルの不足はもちろんのこと、それらを悪い意味で助長する“燃え尽き症候群”が課題として挙げられた。セキュリティ担当者の負担はグローバル共通の問題のようだ。

　最後に同調査では、AIの進化と普及拡大、役割の転換といった難しい局面に立たされるCISOに対し、組織の成功を支えるために実践すべき5つの戦略が紹介されている（次図）。