CISOの権限や責任の実態は理想とは程遠い--IPA調査

國谷武史 (編集部)

2018-03-29 06:00

 企業や組織でサイバーセキュリティの重要性が高まる中、経営層と業務の現場をつなぐ役割として最高情報セキュリティ責任者(CISO)の存在が期待されている。しかしCISOの権限や責任は、理想とは程遠い状況にあることが情報処理推進機構(IPA)の調査で分かった。

 IPAが3月28日に公表した「CISO等セキュリティ推進者の経営・事業に関する役割調査」でのアンケート(従業員301人以上でCISOを任命している263社が回答)の結果によると、経営層が重要視するCISOの役割では「技術的役割と経営・事業的役割の両方」(43.7%)や「経営・事業的役割」(31.6%)が挙げられ、ITなどのテクノロジとビジネスの両面に期待される立場にあった。


経営層が重要視するCISOの役割(出典:IPA)

 しかし、CISOが実際に有する役割では「セキュリティ対策」(86.3%)や「リスク管理」(73.0%)が高い一方、「コーポレートガバナンス」(49.8%)や「事業貢献」(36.5%)は低く、半数以上のCISOが経営や事業の役割を持っていないことが判明した。

 CISOがセキュリティの確保に関する責任を持つという割合は、社内情報システムでは58.9%に上るものの、事業部門が保有する情報システムでは48.3%、事業部門が保有する制御システムでは39.2%に低下する。特に、自社商品に関しては製品の場合で25.5%、サービスの場合で26.6%にとどまり、事業面におけるCISOの役割は低かった。


商品に対するセキュリティ確保の責任の主体(出典:IPA)

 回答企業の92.8%はCISOをサポートするメンバーを設置しているとし、その理由では、CISOがセキュリティの専門家ではなく専門スタッフが補助するケースと、CISOがセキュリティの専門家であり、セキュリティ以外の知見を必要とするケースに大別された。サポートメンバーは情報システム部門(73.1%)あるいは情報セキュリティ部門(59.9%)を中心に、リスク管理、総務、法務、経営企画、事業企画など多岐にわたっている。

 CISOの職位では、取締役や執行役など経営層に位置付けている割合は36.9%で、最も多いのは情報システムや情報セキュリティの部門長(非役員)の39.5%で、「課長級以下」も12.5%に上る。専任および兼任の割合はほぼ半分だった。

 IPAは、アンケート調査の他に文献調査や有識者へのインタビューも実施した。現状では、多くの企業が明確な役割と責任を持つCISOを設置するより、さまざまな部署の人材と責任者によるチーム型のCISO体制を採用していると分析。また、CISOのマネジメントスキルの醸成や社内外の連携および橋渡しとしての役割の強化なども必要だとし、明確な役割や責任を持つCISOの普及に向けて、以下の施策を提言している。

  • 経営層がCISOに必要な権限と責任を明確にし、与えるよう、啓発普及すること
  • CISOが担うべき経営、事業に関する役割について参考情報を提供すること
  • CISOに適した人材の養成、演習などの教育プログラムを整備すること
  • セキュリティに係る人材が経営や事業に関する役割を担うCISOを目指すモチベ ーションを持てるようなキャリアパスなどを整備すること

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    セキュリティリーダー向けガイド--なぜ今XDRとSIEMの違いを理解することが重要なのか

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]