セキュリティ責任者が｢企業の命運｣左右しうる訳 混迷する世界情勢の中で､変化するCISOの役割

こうした攻撃が増加する背景には、ロシアへの経済制裁を行う日本へのロシアの攻撃者からの報復という側面や、日本をターゲットと考えている中国や北朝鮮などの軍事的・戦略的な準備活動という可能性も考えられる。

日本企業へのサイバー攻撃の激化を受けて、企業のセキュリティに対する意識が変わってきた。とはいえ、日本におけるCISOの設置率はまだまだ低い。NRI Secure Insight 2023によると、経営層がCISOに就任している率は日本では41.1%であり、アメリカの95.5%に比べて大きな開きがある。

セキュリティの強い企業の条件としては、セキュリティ文化の醸成が挙げられる。Verizonの調査（2023年）によると、サイバー侵害の74%が過失や特権の悪用、ソーシャルエンジニアリングなどの人的要素に起因するとされている。それらの人的要素を低減するためには、従業員のセキュリティ意識の向上やポリシーの遵守などが欠かせない。

現場のメンバーはITセキュリティ担当者の言うことよりも、自分の上司の言うことに従う傾向があるため、結果として経営層が関与しなければセキュリティ文化は醸成しない。経営層の関わりが大きければ大きいほど、その企業のセキュリティ成熟度が増すことがNPO法人CIO Loungeの調査（2023年）によって裏付けられている。

日本においてまずはCISOを設置することが求められるだろう。そのうえで、サイバー攻撃が激化するなか、CISOの果たすべき役割や位置づけについて考える必要がある。

グローバルの流れとしてはCISOは経営会議での補佐的な役割から、現在では重要な戦略的パートナーへと進化することが求められるようになってきている。経営陣と共通言語を用いてセキュリティとビジネスを紐づけながら、事業戦略を策定するうえで中心的な役割を担うようになるだろう。

では、なぜこうした変化があるのか、セキュリティの強い企業ではCISOがどのような権限を持つのか、詳しく見ていこう。

CISOが適切な権限を持たなければ、企業は暴走する

インシデント時には、CISOに業務システムを止める権限を持たせることが必要だ。サイバー攻撃への対処は早ければ早いほどダメージが少なく済むが、サイバー攻撃を受けた際に業務システムを止める権限をCISOが持っていれば、即座に業務システムをネットワークから隔離し、被害を最小化させることができる。