CISOの権限や責任の実態は理想とは程遠い--IPA調査

國谷武史 (編集部) 2018年03月29日 06時00分

  • このエントリーをはてなブックマークに追加

 企業や組織でサイバーセキュリティの重要性が高まる中、経営層と業務の現場をつなぐ役割として最高情報セキュリティ責任者(CISO)の存在が期待されている。しかしCISOの権限や責任は、理想とは程遠い状況にあることが情報処理推進機構(IPA)の調査で分かった。

 IPAが3月28日に公表した「CISO等セキュリティ推進者の経営・事業に関する役割調査」でのアンケート(従業員301人以上でCISOを任命している263社が回答)の結果によると、経営層が重要視するCISOの役割では「技術的役割と経営・事業的役割の両方」(43.7%)や「経営・事業的役割」(31.6%)が挙げられ、ITなどのテクノロジとビジネスの両面に期待される立場にあった。


経営層が重要視するCISOの役割(出典:IPA)

 しかし、CISOが実際に有する役割では「セキュリティ対策」(86.3%)や「リスク管理」(73.0%)が高い一方、「コーポレートガバナンス」(49.8%)や「事業貢献」(36.5%)は低く、半数以上のCISOが経営や事業の役割を持っていないことが判明した。

 CISOがセキュリティの確保に関する責任を持つという割合は、社内情報システムでは58.9%に上るものの、事業部門が保有する情報システムでは48.3%、事業部門が保有する制御システムでは39.2%に低下する。特に、自社商品に関しては製品の場合で25.5%、サービスの場合で26.6%にとどまり、事業面におけるCISOの役割は低かった。


商品に対するセキュリティ確保の責任の主体(出典:IPA)

 回答企業の92.8%はCISOをサポートするメンバーを設置しているとし、その理由では、CISOがセキュリティの専門家ではなく専門スタッフが補助するケースと、CISOがセキュリティの専門家であり、セキュリティ以外の知見を必要とするケースに大別された。サポートメンバーは情報システム部門(73.1%)あるいは情報セキュリティ部門(59.9%)を中心に、リスク管理、総務、法務、経営企画、事業企画など多岐にわたっている。

 CISOの職位では、取締役や執行役など経営層に位置付けている割合は36.9%で、最も多いのは情報システムや情報セキュリティの部門長(非役員)の39.5%で、「課長級以下」も12.5%に上る。専任および兼任の割合はほぼ半分だった。

 IPAは、アンケート調査の他に文献調査や有識者へのインタビューも実施した。現状では、多くの企業が明確な役割と責任を持つCISOを設置するより、さまざまな部署の人材と責任者によるチーム型のCISO体制を採用していると分析。また、CISOのマネジメントスキルの醸成や社内外の連携および橋渡しとしての役割の強化なども必要だとし、明確な役割や責任を持つCISOの普及に向けて、以下の施策を提言している。

  • 経営層がCISOに必要な権限と責任を明確にし、与えるよう、啓発普及すること
  • CISOが担うべき経営、事業に関する役割について参考情報を提供すること
  • CISOに適した人材の養成、演習などの教育プログラムを整備すること
  • セキュリティに係る人材が経営や事業に関する役割を担うCISOを目指すモチベ ーションを持てるようなキャリアパスなどを整備すること

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算