｢CISOが不在｣日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題

「CISOの不在」が企業にリスクをもたらす（写真：metamorworks/PIXTA）

日本はセキュリティ人材の不足が長らく続いているが、現場だけでなく、統括を担う「CISO（Chief Information Security Officer、最高情報セキュリティ責任者）」も足りていない。

NRIセキュアテクノロジーズが2024年1月25日に発表した「企業における情報セキュリティ実態調査 NRI Secure Insight 2023」によれば、CISOを設置している日本企業は、アメリカやオーストラリアの半数以下にとどまっている。

CISO未設置の経営リスクや人材確保のポイントについて、情報セキュリティ実態調査の監修を務めた同社DXセキュリティプラットフォーム事業本部本部長の足立道拡氏に聞いた。

経営とセキュリティの両方がわかる人材が必要

「CISOは、CEO（最高経営責任者）をはじめとする経営層と、現場のセキュリティ担当者をつなぐ『通訳』の役割を担っている」と、足立氏は言う。

経営層は、セキュリティ対策の重要性を認識していても、具体的にどのような対策を打てばよいのか理解していないケースが多い。一方の現場でも、対策の必要性について経営層をどう説得すればよいのかわからず「予算獲得が難しい」と苦しむセキュリティ担当者が多いそうだ。