-
日本のCISOの84%は自身のリスク許容度が高まったと答え、72%が自身のリスク許容度は高いと回答
-
自社CEOのリスク許容度が自身よりも低いと考えるCISOは日本では28%であり、世界では全体の3分の1(32%)
-
日本のCISOの98%が、リスク許容度の不一致が経営幹部間で問題となり緊張を生じさせていると回答
-
日本のCISOの88%が、ビジネスが求めることとセキュリティの観点から合理的なこととの間で「綱渡り」しているように感じると回答
2024年6月25日 – セキュアアクセスサービスエッジ(SASE)のリーディングカンパニーである
Netskope
は、本日、サイバー脅威の状況における変化が最高情報セキュリティ責任者(以下、CISO)のリスク許容度にも変化をもたらしていることを示す、新しいグローバル調査の結果を
公表しました
。日本のCISOの98%はこのような変化によるリスク許容度の不一致がCEOや他の経営幹部との間で緊張を生じさせていると回答しており、88%が、ビジネスが求めることとセキュリティの観点から合理的であることとの間で「綱渡り」しているように感じると回答しています。
CISOが経営幹部における戦略的メンバーの一員へと進化するなか、今回の調査は、CISOの役割を探る目的のもと世界各地の1,000人を超えるCISOを対象に行われ、日本からも200人のCISOが参加しました。この結果、職務の性格上リスク回避志向だと思われていたCISOの従来のイメージとは裏腹に、日本では自身のリスク許容度を低いとするCISOはわずか4%にとどまることが明らかになりました。これに対し、世界的にはリスク回避志向はより高い傾向が見られます(世界平均16%)。また、その倍の人数(世界平均32%)が自社CEOのリスク許容度を低いと回答し、自身より自社CEOの方がリスク回避志向であると見なしています。日本ではこの数値は若干低く、28%でした。
サイバー脅威の増加と複雑化にもかかわらず、またはその状況を受け、日本のCISOの84%が過去5年の間に自身のリスク許容度が高まったと回答しています。世界平均は57%でした。
日本のCISOのリスク許容度の高まりの要因は、「経営幹部全体におけるリスクに対する責任の共有が増えていること」と、「CISO自身によるリーダーとしての意思決定により大きな役割を果たしたいとの希望」であると見られます。他の要因としては、「より多くのデータや分析が得やすくなったこと」、「具体的な社内のサイバーセキュリティ課題・体験による役割意識の強化」があります。
さらに、以下のような調査結果もCISOの役割の変化を示しています。
-
日本のCISOの88%は、「CISOがイノベーションを可能にする役割を果たせることを他の経営幹部は理解していない」と考えています。 これは世界的に最も高い数字であり、世界平均(65%)を大きく上回っています。
-
このような見解の相違は、取締役会において現実的な問題として表れることもあります。日本のCISOの圧倒的多数である98%が、「リスク許容度の不一致が経営幹部間で問題になっている」と認め、28%がそのような衝突が頻繁に起きると述べています。
-
このように相反する見解があることを踏まえると、今日のCISOは組織内で適切なバランスをもたらすという難しい課題を背負っています。日本のCISOの92%が、「組織内で相反する優先順位のバランスをとることが自分の役割である」と考え、88%が「ビジネスが求めることとセキュリティの観点から合理的であることとの間で「綱渡り」しているように感じる」としています。
-
経営幹部間で最も緊張を生じさせる要因はサイバーセキュリティリスクであると回答したのは、日本のCISOでは36%で、対するフランスでは40%、北米では31%、ドイツでは30%、英国では26%でした。要因として日本で最も回答率が高かったのは財務/経済リスク(42%)、次にオペレーションリスク(38%)でした。
進歩的なCISOの台頭
日本で調査に参加したCISOの大多数(89%)は、自分の役割が急速に変化していると感じ、自身がより積極的、進歩的になっていると回答しています。これは、世界平均の65%と比べ、日本で顕著に見られる傾向です。その理由の一つが、イノベーションとビジネスへの影響促進に向けた新たな可能性を生み出す最新テクノロジーの採用です。
さらに、日本のCISOで自分が会社の事業に対する防衛に特化した役割「プロテクター」であると考えているのは39%に過ぎず、88%が、「CISOの役割はビジネスにおけるレジリエンスの向上にあり、単にサイバーリスク管理だけにはとどまらない」と考えています。これは、世界的な平均が65%である中、全地域における最も高い数字です。
自身が組織内でビジネスイネーブラーとしてより積極的な役割を果たす余地があると回答したのは、世界平均が65%である一方で、日本のCISOでは91%に上ります。また、日本の大多数のCISO(91%)が、世界平均の66%に対し、他の経営幹部に影響を与えたり啓発したりすることが自分の役割の中で重要性を増しているとも認識しています。CISOの部門が長年にわたり「(事業に対し)NOを言う部門」との認識を持たれてきたのに対し、89%(世界平均)のCISOが「事業に対してより多くの機会でYESと言えた方が望ましい」と考えていると回答しています。
NetskopeのCISOであるジェームズ・ロビンソン(James Robinson)は次のように述べています。
「この度の調査では、CISOが全般的に、会社を守りながらもイノベーションを実現するためにより積極的な役割を果たしたいと強く望んでいることが明らかになりました。私の経験によると、経営幹部の中でCISOがより積極的な役割を果たすパートナーとなる最善の方法は、経営幹部について想定されるリスク許容度に対応したセキュリティ戦略や、個別のテクノロジーに関する選択を主張しようとするのではなく、他の経営幹部たちが注力しているビジネス課題を深く理解し、セキュリティ戦略をそれに沿ったものにしていくことにあります」
「多くの企業ではこうした幹部間の連携は行われていません。しかしCISOが、収益の新規獲得、効率向上の促進、規制要件への対応において他の経営幹部を支援する方法を明確に示すことができれば、経営トップ層で貢献する存在としての価値を認識されるでしょう」
本調査について、NetskopeのフィールドCTOであるスティーブ・ライリー(Steve Riley)は次のように述べています。
「ビジネスに関するテクノロジーとサイバー脅威がかつてなく速いペースで進化する中、多くのCISOがより進歩的な考え方を示していることを心強く感じます。もはやCISOは明らかに、ビジネスに損害を与える場合には、アクセスを完全にロックダウンする必要性を感じていません」
「ただし本調査では、他の経営幹部にとって、CISOが従来のビジネスに対する防御の役割からさらにその範囲を拡大させていくことに対し、それを受け入れる姿勢が必ずしもあるわけではないことも示されています。イノベーションにおけるセキュリティの確保と事業変革を実現するには、セキュリティの主導者がその実現への道のりに他の幹部を巻き込み、業界を賑わすゼロトラストなどのトレンドがいかにセキュリティ確保と業務遂行の両立に実効性を持つのかについて、理解を促進する必要があります」
本調査は、世界5地域(英国、北米、フランス、ドイツ、日本)のヘルスケア、リテール、金融、工業を含む幅広い分野の1,031人のCISOを対象に、Netskopeの委託を受けたCensuswideが2024年4月にインタビュー形式で実施しました。
業界トレンドに対するCISOの姿勢に関する知見を他にも盛り込んだレポートの完全版は、
こちら
からご覧ください。
ネットスコープについて
SASEのグローバルリーダー企業であるネットスコープは、ゼロトラストとAI・MLのイノベーションを適用して、データ保護とサイバー脅威から組織を守ることを支援しています。高速で使いやすいNetskope Oneプラットフォームと特許取得済みゼロトラストエンジンは、場所を問わず、人、デバイス、データに最適なアクセスとリアルタイムのセキュリティを提供します。数千社のお客様が、ネットスコープとその強力なNewEdgeネットワークを信頼し、リスクを削減し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティにわたって比類のない可視性を獲得しています。これにより、セキュリティとパフォーマンスをトレードオフなしに実現しています。詳しくは、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp