CISOの現実
IPAが3月28日に発表した調査結果によると、CISOの現状は期待される役割や責任などに対して、権限や影響力がそれほど及んでいない様子が浮き彫りになった。例えば、企業統治や事業に貢献しているという回答は半数に満たず、事業部保有システムや自社サービスのセキュリティに責任を持つ割合も同様だった。
CISOなどが実際に持つ役割(出典:IPA)
島田氏によると一方で、全社規模のITシステムのセキュリティに責任を持つCISOは6割近くに上り、事業でのIT依存度が高い企業や組織ほど、その割合は高いという。CISOに望まれる役割と実際の所管範囲や権限には大きなギャップが存在しており、こうしたことからも、企業や組織がセキュリティの取り組みを推進していくには、CISOが単独で当たるよりチームで当たる方が現実的といえるだろう。JNSAのWGがCISOハンドブックの内容を検討していく過程では、“CISOの孤独”という課題にもフォーカスが当たったという。
なお、日本情報システム・ユーザー会(JUAS)が発表した「企業IT動向調査2018」(PDF)によると、2017年における経営幹部の情報セキュリティへの関与度は、いずれの業種においても前年から上昇しており、特に金融では81.0%に達する。
セキュリティ人材の充足状況や不足に対する見通し(出典:JUAS)
セキュリティ人材の充足度は、2015年に比べて「充足している」との回答が10ポイント前後増加し、全般的には人材不足の解消がやや進んでるが、「不足している」とした企業のうち、経営層との橋渡し役人材の確保にめどが立っているとする企業は、2015年の20.3%から2017年は8.2%に減少し、CISO相当の人材確保が困難化している状況が読み取れる。
