日本のCISO、リスク許容度が高まりビジネスイネーブラーとしての役割に変化

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskopeは、世界各地で1,000人を超えるCISOを対象とした調査を実施し、その結果を公表しました。調査によると、日本のCISOの84%は過去5年の間に自身のリスク許容度が高まったと回答しており、これは世界平均（57%）を大きく上回っています。

日本のCISOのリスク許容度が高まった要因としては、経営幹部全体におけるリスクに対する責任の共有の増加や、CISO自身によるリーダーとしての意思決定への意欲の高まりなどが挙げられます。また、データや分析の利便性向上や、具体的なサイバーセキュリティ課題・体験による役割意識の強化も要因として考えられます。

さらに、調査ではCISOの役割の変化を示す興味深い結果も明らかになっています。日本のCISOの88%は、CISOがイノベーションを可能にする役割を果たせることを他の経営幹部は理解していないと考えており、これは世界平均（65%）を大きく上回っています。この見解の相違は、取締役会でリスク許容度の不一致による緊張を生じさせ、現実的な問題として表れることも多いようです。

日本のCISOの92%は、組織内で相反する優先順位のバランスをとることが自分の役割であると考えており、88%はビジネスが求めることとセキュリティの観点から合理的であることとの間で「綱渡り」しているように感じています。

調査に参加した日本のCISOの大多数（89%）は、自分の役割が急速に変化しており、より積極的、進歩的になっていると回答しています。これは世界平均（65%）と比べ、日本で顕著に見られる傾向です。日本のCISOの39%は、自分が会社の事業に対する防衛に特化した役割「プロテクター」であると考えている一方、88%はCISOの役割はビジネスにおけるレジリエンスの向上にあり、単にサイバーリスク管理だけにはとどまらないと考えています。これは世界的な平均が65%である中、全地域における最も高い数字です。

CISOと経営幹部との連携、今後の課題

今回の調査結果から、日本のCISOは従来のセキュリティ専門家としての役割から、ビジネスイネーブラーとしての役割へとシフトしつつあることが明らかになりました。しかし一方で、経営幹部との間ではリスク許容度の不一致による緊張や認識のずれが生じていることも事実です。

NetskopeのCISOであるジェームズ・ロビンソン氏は、経営幹部との連携を強化するために、CISOは経営幹部の想定されるリスク許容度に合わせたセキュリティ戦略を策定し、ビジネス課題を深く理解することが重要だと述べています。

NetskopeのフィールドCTOであるスティーブ・ライリー氏は、ビジネスに関するテクノロジーとサイバー脅威が急速に進化する中、CISOはより進歩的な考え方を示す必要があると指摘しています。また、CISOが他の経営幹部を巻き込み、業界を賑わすゼロトラストなどのトレンドがセキュリティ確保と業務遂行の両立にいかに実効性を持つのかについて理解を促進することが重要であるとしています。

今後の展望

日本のCISOは、急速に変化するビジネス環境の中で、より積極的にビジネスイネーブラーとしての役割を担っていくことが求められます。経営幹部との連携を強化し、共通認識を形成することで、企業全体のセキュリティとビジネスの成長を両立させることが重要となるでしょう。

日本のCISOを取り巻く変化と課題：リスク許容度、ビジネスイネーブラーとしての役割、そして経営幹部との連携

Netskopeの調査結果から、日本のCISOが変化の岐路に立っていることが浮き彫りになりました。従来の「プロテクター」としての役割に加え、ビジネスイネーブラーとしての役割を期待される一方、経営幹部との間ではリスク許容度の不一致による緊張が生じているという現状は、CISOにとって大きな課題と言えるでしょう。

日本のCISOの84%が自身のリスク許容度が高まったと回答している一方で、経営幹部の多くは、CISOがビジネスイネーブラーとしての役割を理解していないという現実が明らかになりました。これは、CISOが従来のセキュリティ専門家としての枠を超え、ビジネスへの貢献をより明確に示す必要性を示唆しています。

CISOがビジネスイネーブラーとしての役割を果たすには、経営幹部のビジネス目標を深く理解し、それに沿ったセキュリティ戦略を策定することが重要です。また、ゼロトラストなどの最新技術を活用することで、セキュリティを確保しながらもビジネスの成長を促進できることを示していく必要があります。

経営幹部との信頼関係構築も不可欠です。リスク許容度の不一致を解消し、共通認識を形成するためには、CISOは経営幹部とのコミュニケーションを強化し、セキュリティに関する理解を深める努力が必要です。さらに、具体的な事例やデータを用いて、セキュリティ対策がビジネスに貢献する効果を明確に示すことで、経営幹部の理解と協力を得ることが可能となります。

CISOは、変化の激しい時代において、より積極的な役割を担うことで、企業全体のセキュリティとビジネスの成長を両立させることが求められます。今回の調査結果は、CISOにとって重要な示唆を与えており、今後の取り組みの指針となるでしょう。