人生には変化がつきものです。今回の調査ではCISOの実に86%が、就任以来その役割が大きく変化し、もはや違う職務のようだと回答しています。
私はCISOとしてのキャリアを通じてサイバーセキュリティ環境の激動を目の当たりにしてきたため、常に変化への適応が求められるセキュリティリーダーが、今日、自らに課せられたまったく新しい責任を巧みにこなしていることに驚きません。CISOの役割の変化がもたらす課題と機会を理解するために、Splunkでは、CISO、CSOなどのセキュリティ幹部350人にアンケートを行い、20人に詳細なヒアリングを実施して、セキュリティリーダーの現状を調査しました。
その調査結果が『CISOレポート』としてまとめられ、本日リリースされました。このレポートは、SplunkのDistinguishedセキュリティストラテジスト兼SURGeリーダーのRyan KovarとEMEA担当フィールドCTO兼戦略アドバイザーのKirsty Paineの共著です。調査では、CISOが現在直面している問題から、チーム間のコラボレーションを拡大する方法まで、今日のCISOに求められる取り組みを探りました。
私が驚いたのは、全体で47%のCISOが現在CEOの直属になっているという結果です。立場が向上することで、CISOは組織のセキュリティ態勢の強化を強く主張できます。私は経験上、ビジネスにおけるサイバーセキュリティの重要性や、サイバーリスク、サイバー攻撃への耐性を強化するための投資の必要性について、まず経営幹部の理解を深めることが大切であると認識しています。経営幹部レベルでCISOの影響力が強まることは、組織全体にとって好ましいことです。ただし、この結果は業界によってばらつきがあります。調査では、CISOがCEOの直属になっている割合が金融サービス業では34%と後れを取る一方で、ヘルスケア業界では84%と予想外に高い結果になりました。
CEOやCFOなどの経営幹部と意見を交わす機会が増える中で、CISOは、幹部が現在重視しているKPIやセキュリティ指標が2年前とは異なっていると感じています。私のこれまでのCISOとしての経験から、これらの指標を達成することは、自らの地位を確保し、サイバーセキュリティのための資金調達を促進することにつながります。調査では、サイバーセキュリティ対策の成功要因としてCISOが重視する項目は、セキュリティ投資のROIが1位、セキュリティテストの結果が僅差で2位でした。私個人としては、NISTサイバーセキュリティフレームワークを基準としたセキュリティプログラムの成熟度を測定する指標も、投資のROIに大きく影響するため、非常に重要だと考えています。投資を増額することで組織のサイバーセキュリティプログラムの成熟度が上がれば、定量化された成果として説得力があります。
サイバー防御の状況については、83%のCISOがランサムウェア攻撃で身代金を払ったことがあると回答しています。私は仕事上多くのCEOと話をしますが、CEOはいかなるときでも、収益を失うくらいなら身代金を支払うことを選ぶでしょう。ランサムウェア攻撃を含めサイバー攻撃の勢いは衰えを見せず、過去1年間に大規模なサイバー攻撃を1回以上受けたことがあると回答したCISOは90%にのぼりました。これは非常に憂慮すべき事態であり、特に、サイバー攻撃に対する保険を検討している組織にとっては頭の痛い問題です。というのも、サイバー攻撃があまりに頻繁に発生するため、保険料が急騰しているからです。今後、サイバー攻撃に対する保険には、我が子を手放すほどでなくとも、それに近い覚悟が必要になるでしょう。
これまでにお話ししたことは『CISOレポート』で明らかになったCISOの現状の一部にすぎません。調査結果の中には、私個人の経験と一致するものもあれば異なるものもあります。レポート全文では、AIがサイバー防御にどのような変革をもたらすか、組織はレジリエンスの文化をどのように構築しているか、サイバーセキュリティ投資を今後どのように増やしていくのかなどについても考察しています。
『CISOレポート』はこちらからダウンロードできます。詳しい分析のほか、業界別・地域別の特徴も紹介していますので、ぜひご覧ください。
このブログはこちらの英語ブログの翻訳、大久保 かがりによるレビューです。
