｢CISOが不在｣日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題

またCISOの設置後には、経営トップによるCISOへのバックアップが重要になると足立氏は言う。

「CISOは、普段の業務が賞賛されることはほとんどないうえ、自社がサイバー攻撃を受けて被害が発生した場合、非難を浴びることになりがち。そのためアメリカでもCISOが抱える孤立感やプレッシャーが大きな問題となっている。経営トップがCISOに対して、執行に必要な権限とリソースを与えたうえで、その立場を理解し、支援する姿勢を示さないと、社内にCISOを根づかせることは困難になる」

最近では、CISO同士がさまざまな課題や悩み事について率直に話し合える社外のコミュニティーが生まれている。そうしたつながりをつくることは、CISOの孤立を防ぐうえでも、学びを深めていくうえでも効果があるという。

セキュリティ対策をコストと考える企業に人は来ない

今回の調査では、企業規模によらず約9割の企業が「セキュリティ人材が不足している」と回答している。すでに10年以上、同様の傾向が続いているといい、セキュリティ人材が完全な売り手市場になっている中、「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。

「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」

ただし、日本社会全体の労働生産人口が減少し、セキュリティ担当者の業務が増え続けている中では、人材確保の発想だけでは限界があり、限られた人材で業務を回せるよう効率化を図っていくことも大切になる。

今回の調査では、そうした効率化の面でも日本企業に課題があることが浮き彫りになった。生成AIの導入状況を尋ねた項目において、アメリカでは73.5％、オーストラリアでは66.2％の企業が「導入済み」と答えたのに対して、日本は18％に過ぎなかったのだ。