CISO支援不足にCEO対策必須、PwC報告が警鐘

Last Updated on 2024-03-05 08:28 by 荒木 啓介

サイバーセキュリティの責任者（CISO）は、CEOからの十分な支援を受けていると感じているのは30%に過ぎないというPwCの報告がある。予算制約やサイバーセキュリティの人材不足にもかかわらず、組織を悪意のある行為から守ることの難しさが増している。さらに、SolarWindsとそのCISOに対する詐欺の告発、Uberの元CISOの判決など、2023年にはCISOが犯罪の責任を問われる可能性がある状況が生じている。このような状況から、Gartnerは2025年までにほぼ半数のサイバーセキュリティリーダーが職を変えると予測している。

CEOとCISOの間の支援的なパートナーシップは重要であり、CEOがCISOを支援するためにできることがいくつか挙げられている。まず、CISOがCEOに直接報告できるようにすること、CISOの背中を守ること、CISOと共にレジリエンス戦略を作ること、そしてAIの影響について合意することが含まれる。これらの措置は、CISOが直面する膨大な期待に対処するための支援となり、組織にとっても大きな利益となる。

【ニュース解説】

現代のビジネス環境において、サイバーセキュリティは企業運営の重要な柱の一つとなっています。その中心にいるのが、企業の情報セキュリティを守る責任者であるCISO（Chief Information Security Officer：最高情報セキュリティ責任者）です。しかし、PwCの報告によると、CISOがCEO（最高経営責任者）から十分な支援を受けていると感じているのは30%に過ぎないという現状があります。これは、サイバーセキュリティの脅威が増加する中で、予算制約や人材不足に直面しながらも、組織を守ることの難しさが増していることを示しています。

さらに、2023年には、SolarWinds社とそのCISOに対する詐欺の告発や、Uberの元CISOの判決など、CISOが犯罪の責任を問われる可能性がある状況が生じています。これらの事例は、CISOの職務が以前にも増してリスクを伴うものになっていることを示しており、Gartnerは2025年までにほぼ半数のサイバーセキュリティリーダーが職を変えると予測しています。

このような状況の中で、CEOとCISOの間の支援的なパートナーシップが非常に重要になってきます。CEOがCISOを支援するためにできることとして、以下の4点が挙げられます。

1. CISOがCEOに直接報告できるようにすること。これにより、サイバーセキュリティ戦略と実行において、両者が密接に連携できるようになります。
2. CISOの背中を守ること。これには、CISOがリーダーシップを発揮し、サイバーセキュリティミッションを実行できるようにすること、必要なリソースを提供すること、そして職務の難しさに共感することが含まれます。
3. CISOと共にレジリエンス戦略を作ること。攻撃の予防だけでなく、攻撃が避けられない場合に備えて、最も重要なデータを保護し、攻撃の影響を最小限に抑え、迅速に対処し、ビジネスを継続できるようにすることが重要です。
4. AIの影響について合意すること。AIはサイバー攻撃者と防御者の両方にとって有用なツールとなっていますが、製品開発や顧客サポート機能でのAIの使用がセキュリティリスクを高める可能性がある場合、CISOはそのリスクを慎重に評価する必要があります。

これらの措置は、CISOが直面する膨大な期待に対処するための支援となり、組織にとっても大きな利益となります。CEOとCISOが協力し合うことで、サイバーセキュリティの脅威に対するより強固な防御体制を築くことができるでしょう。

from What Cybersecurity Chiefs Need From Their CEOs.