日本企業のセキュリティ責任者の役割はどれだけ確立されているのか？

主な調査結果

グローバルエッジクラウドプラットフォームであるFastlyが、企業の最高情報セキュリティ責任者（CISO）に関する調査を発表しました。これは日本企業から得られたデータに基づくもので、日本では86%の企業が、CISOの役割の拡大に対処するためにポリシーを変更したことが明らかになりました。これは、世界全体の93%という数字と比べても高い水準です。さらに、調査対象となった企業の1/3にあたる32%が、取締役会での戦略的意思決定にCISOの関与を高めていることが分かりました。

セキュリティに対する意識の高まり

近年、特に2023年後半に、米国証券取引委員会（SEC）がサイバーセキュリティに関する規制を強化したことが影響を与えています。この新たな規制は、企業のデータ侵害に対する責任をより明確にし、CISOの役割への関心を急激に高めています。調査結果によれば、日本企業の29%が、監督機関からのセキュリティ関連の文書の精査を強化すると考えています。

さらに、32%の企業が過去1年間に賠償責任保険を含む法的支援を向上させる取り組みを行っており、サイバーセキュリティに関連するリソースを増加させています。

説明責任の重要性

しかし、FastlyのCISOであるMarshall Erwin氏は、企業が法的リスクから自らを守ることに焦点を当てる中で、今後もCISOの役割が適切に果たされるかは疑問視されています。彼は、企業の説明責任が強調される現状について、「リスクに対して適切な予算措置を講じられていない場合、それは本当の説明責任とは言えない」と警鐘を鳴らします。

重要なのは、CISOの責任を一人に帰属させるのではなく、企業全体でのコミュニケーションと責任の共有が不可欠であるという点です。今野芳弘カントリー・マネージャーも、CISOの意思決定が組織全体で受け入れられることの重要性を強調しており、一個人に責任を持たせることは不十分であると述べています。

改善の余地

このような状況下で、調査によると37%の日本企業がセキュリティインシデントに対する最終責任者を不明確だと認識しており、これは企業が規制ガイダンスをうまく活用できていないことを示唆しています。責任が明確でないことは、企業がサイバーセキュリティを強化する機会を逃す結果にもつながりかねません。

Fastlyのセキュリティソリューションは、単なる防御策にとどまることなく、インシデント発生から30分以内に専門家が迅速に対応できるようサポートします。これは、セキュリティインシデントへの回答を迅速化し、企業にとっての大きなアドバンテージとなるでしょう。

結論

この調査は、企業がCISOの役割をセキュリティリスクの脅威として捉えるのではなく、むしろ全体的なセキュリティ体制の強化や組織改革のチャンスと見る必要があることを強調しています。説明責任のフレームワークは、コンプライアンスを超えた具体的な行動が求められる時代に突入しています。企業は、適切な基準やガイダンスの下で、より良いセキュリティ体制を築くことが求められます。

調査結果の詳細は、Fastlyのウェブサイトでダウンロード可能です。