企業や組織でサイバーセキュリティの重要性が高まる中、経営層と業務の現場をつなぐ役割として最高情報セキュリティ責任者(CISO)の存在が期待されている。しかしCISOの権限や責任は、理想とは程遠い状況にあることが情報処理推進機構(IPA)の調査で分かった。
IPAが3月28日に公表した「CISO等セキュリティ推進者の経営・事業に関する役割調査」でのアンケート(従業員301人以上でCISOを任命している263社が回答)の結果によると、経営層が重要視するCISOの役割では「技術的役割と経営・事業的役割の両方」(43.7%)や「経営・事業的役割」(31.6%)が挙げられ、ITなどのテクノロジとビジネスの両面に期待される立場にあった。
経営層が重要視するCISOの役割(出典:IPA)
しかし、CISOが実際に有する役割では「セキュリティ対策」(86.3%)や「リスク管理」(73.0%)が高い一方、「コーポレートガバナンス」(49.8%)や「事業貢献」(36.5%)は低く、半数以上のCISOが経営や事業の役割を持っていないことが判明した。
CISOがセキュリティの確保に関する責任を持つという割合は、社内情報システムでは58.9%に上るものの、事業部門が保有する情報システムでは48.3%、事業部門が保有する制御システムでは39.2%に低下する。特に、自社商品に関しては製品の場合で25.5%、サービスの場合で26.6%にとどまり、事業面におけるCISOの役割は低かった。
商品に対するセキュリティ確保の責任の主体(出典:IPA)
回答企業の92.8%はCISOをサポートするメンバーを設置しているとし、その理由では、CISOがセキュリティの専門家ではなく専門スタッフが補助するケースと、CISOがセキュリティの専門家であり、セキュリティ以外の知見を必要とするケースに大別された。サポートメンバーは情報システム部門(73.1%)あるいは情報セキュリティ部門(59.9%)を中心に、リスク管理、総務、法務、経営企画、事業企画など多岐にわたっている。
CISOの職位では、取締役や執行役など経営層に位置付けている割合は36.9%で、最も多いのは情報システムや情報セキュリティの部門長(非役員)の39.5%で、「課長級以下」も12.5%に上る。専任および兼任の割合はほぼ半分だった。
IPAは、アンケート調査の他に文献調査や有識者へのインタビューも実施した。現状では、多くの企業が明確な役割と責任を持つCISOを設置するより、さまざまな部署の人材と責任者によるチーム型のCISO体制を採用していると分析。また、CISOのマネジメントスキルの醸成や社内外の連携および橋渡しとしての役割の強化なども必要だとし、明確な役割や責任を持つCISOの普及に向けて、以下の施策を提言している。
- 経営層がCISOに必要な権限と責任を明確にし、与えるよう、啓発普及すること
- CISOが担うべき経営、事業に関する役割について参考情報を提供すること
- CISOに適した人材の養成、演習などの教育プログラムを整備すること
- セキュリティに係る人材が経営や事業に関する役割を担うCISOを目指すモチベ ーションを持てるようなキャリアパスなどを整備すること