Splunkの調査によると、CISOは経営幹部として定着しつつあるが、取締役会との認識にギャップが存在。日本ではCISO設置が進むも機能不全が多く、経営層の理解不足が課題とされている。
この調査は、オーストラリア、フランス、ドイツ、イタリア、インド、日本、ニュージーランド、シンガポール、英国、米国のCISO500人と取締役100人を対象に実施されました。
調査結果によると、CISOの82%がCEOの直属であり、取締役会への参加率も83%に達しています。
しかし、CISOと取締役会の間には認識のギャップが存在しており、CISOの61%が戦略的なセキュリティ計画に自信を持っている一方で、取締役会ではその評価が43%にとどまっています。
また、取締役の52%はCISOがビジネス目標とセキュリティの整合性を保つために多くの時間を費やしていると考えていますが、CISO自身はその割合が34%にすぎないと回答しています。
このため、CISOが経営にどのように貢献するかが今後の課題とされています。
さらに、取締役会の41%がサイバーセキュリティの予算が十分であると考える一方で、CISOは29%しか同意していないことも明らかになりました。
CISOの64%は現在のセキュリティ対策が不十分であると懸念しており、コスト削減によるリスクが高まっていると警告しています。
日本のCISOの設置状況については、2023年度にCISOを設置している企業が25.8%に達しましたが、多くは機能していないか、整備されていない状況です。
特に、中小企業では適任者が不足していることが課題です。
法規制や経営層の理解不足も影響しており、CISOの役割を高めるためには情報セキュリティリスクを経営課題として可視化し、必要な予算を確保することが求められています。
佐々木氏は、情報セキュリティに精通したチームによるCISO機能の強化や外部専門家の活用を提案しています。
参考リンクhttps://news.yahoo.co.jp/articles/7445d9010582d9850feab1ac3e9b364f1f65a08d