｢CISOが不在｣日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題

従業員数が多いほどCISOの設置率も高い傾向にあるが、なぜ日本企業は海外と比べて遅れているのか。足立氏はこう説明する。

「アメリカでは、2013年に重要インフラのサイバーセキュリティ強化に関する大統領令が出て以降、対策は国の重要なイシューになった。現状、アメリカとオーストラリアのCISOは年収が高く、ボードメンバーに入っているケースも多い。

一方、日本企業においては『セキュリティ対策はコスト』という発想が根強く、対策の必要性が認識され始めたのは2018年頃のことと捉えている。そのためCISOを担える人材が十分には育っておらず、キャリアパスが確立されていないこともあり、設置が進まない状況になっている」

｢すべての能力を備えた人物｣を求めないこと

では、適任者が不足している中で、企業はどのように人材を確保していけばよいのだろうか。

CISOには「セキュリティの知識・技術」「戦略・会計などのビジネススキル」「リーダーシップと意思決定力」「コミュニケーションスキル」など、広範な知識やスキル、能力が求められる。今の日本では、これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない。

そのため、「1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する。

例えばセキュリティに関する知識や技術は不十分でも、高い統率力を備え戦略立案の経験も豊富にある人材を任命しようとすると、人材確保のハードルも下がるのではないだろうか。実際、日本のCISOは、さまざまなバックグラウンドを持つ人材が多いという。

「元CIOやセキュリティベンダー出身者などを外部から採用し、CISOに任命する動きが出てきた。この流れが浸透すると設置率は高まるのではないか。新任のCISOに不足している部分がある場合には、その分野を得意とするほかのメンバーを補佐役として置くなど、CISOをチームとして機能させていけばいい」

チーム体制を組むことは、次期CISO候補を育成していくうえでも有効だという。例えば外部からビジネススキルが高い人をCISOとして採用してチームを組んだ場合、セキュリティ対策に詳しい若手・中堅の社員が、CISOから優れたリーダーシップや経営視点を間近で学び、「経営とセキュリティの両方の視点を備えた人材」へと成長していくことが期待できる。