Splunkレポート：経営陣や取締役会において、ビジネスに関する戦略的な意思決定に関与するCISOの影響力が世界的に拡大傾向

※この資料は米国にて2025年1月23日に発表されたプレスリリースの抄訳です。

サイバーセキュリティ/オブザーバビリティのリーダー企業、Splunk LLCは、Oxford Economics社との共同レポート『CISOレポート』(2025年度版)を公開しました。このグローバル調査レポートでは、最高情報セキュリティ責任者(CISO)と取締役会が掲げる目標、優先課題、ビジネス戦略について掘り下げています。

経営幹部に昇格すれば、CISOは取締役会議に参加したり、CEOと直接話し合ったり、ビジネスに関する戦略的な意思決定に関与したりできます。今回の調査では、アンケートに回答したCISOのほとんど(82%)がCEOの直属になっており、2023年の47%から大幅に増加していました。また、取締役会議に「割と頻繁」または「ほとんどの場合」に参加していると回答したCISOの割合も83%にのぼります。CISOの60%が、サイバーセキュリティに携わったことがある取締役員がセキュリティに関する意思決定に大きな影響力を持つことに同意していますが、取締役会にサイバーセキュリティに関する専門知識を持つ役員が1人以上いると回答したCISOは29%ほどでした。

SplunkのCISOであるMichael Fanningは、こう話します。「ビジネスの成功要因としてサイバーセキュリティの重要性が高まる中、CISOと取締役会は、デジタルレジリエンスを強化するために、認識のずれを解消し、連携を強化して、互いをもっとよく理解しようと努めています。それはCISOにとって、IT環境だけではなくビジネスそのものを理解すること、そして、セキュリティイニシアチブのROIを取締役会に伝えるための新しい方法を見つけることを意味します。一方、取締役会にとっては、セキュリティを優先する文化の醸成に力を入れること、そして、組織レベルのリスクやガバナンスに影響する意思決定においてCISOを重要なステークホルダーとみなし、意見を求めることを意味します。この両者の連携を実現するには、取締役会がサイバーセキュリティについて十分に学ぶとともに、CISOがビジネス上のニーズを捉え、コミュニケーションを工夫し、セキュリティをビジネスとして成長や成功するために必要な役割として位置付けることが欠かせません」

イリノイ大学シカゴ校のCISO兼プライバシー責任者であるShefali Mookencherry氏は、次のように述べています。「高等教育機関でサイバーセキュリティプログラムやプライバシープログラムを主導、管理するには、理事会、プライバシー担当リーダー、スタッフ、教職員、学生を含む関係者全員と密接に連携し、意思疎通して、組織のあらゆる面にセキュリティを組み込む必要があります。組織の中でCISOの影響力が増し、その役割が複雑になる中、CISOは、セキュリティニーズとビジネス目標や組織文化とのバランスを取りながら、セキュリティ投資の価値を明確に示す必要があります。各部門や関係者と強力な関係を築けば、ガイダンスを提供し、リーダーシップを発揮して、サイバーセキュリティプログラムやプライバシープログラムを推進できます」

CISOと取締役会の連携がもたらすメリット

CISOの経歴を持つ取締役員は、そうでない役員と比べて、セキュリティチームと強力な関係を築いており、組織のセキュリティ態勢に自信を持っています。組織が十分に保護されていないという不安を感じると回答した割合は37%で、調査結果の平均の62%を大幅に下回りました。CISOと取締役会の関係について、取締役員が「極めて良好」または「とても良好」と回答した割合が高かった領域は以下のとおりです。

• 戦略的なサイバーセキュリティ目標の設定と整合(CISO経験者のいる取締役会では80%、いない取締役会では27%)
• マイルストーンに対する進捗、目標の達成状況、PoR (Plan of Record)の情報共有(同60%、16%)
• 目標を達成するための適切な予算配分(同50%、24%)

取締役会と良好な関係を築いているCISOは、組織内の他部門とのコラボレーションを活発に進めています。調査では、特にIT運用チーム(82%、取締役会と良好な関係を築けていないCISOでは69%)およびエンジニアリングチーム(74%、同63%)と強力な連携を築いていることがわかりました。また、生成AIのユースケース開拓を任される割合が高く、脅威検出ルールの開発(43%、同31%)、データソースの分析(45%、同28%)、インシデント対応とフォレンジック調査(42%、同29%)、プロアクティブな脅威ハンティング(46%、同28%)などを推進しています。

CISOと取締役会の間に生じている認識の違い

CISOと取締役会の間でセキュリティの優先課題は共有されつつありますが、まだ認識にずれが残っています。特にずれが大きい優先課題には以下のものがあります。

• 最新テクノロジーによるイノベーション(CISOでは52%、取締役員では33%)
• セキュリティ担当者のスキル向上やリスキリング(同51%、27%)
• 収益拡大につながるイニシアチブへの貢献(同36%、24%)

取締役会は、CISOが優れたビジネスリーダーになるための新たなスキルを構築することを強く望んでいます。一方で、習得すべきスキルが増えると、CISOの仕事がより複雑になります。実際、53%のCISOが、この職務に就いて以来、責任や期待が増大していると回答しています。CISOが習得すべき重要なスキルについても意見が大きく分かれています。

• ビジネス感覚(取締役では55%、CISOでは40%)
• EQ (心の知能指数) (同45%、35%)
• コミュニケーション(同52%、47%)
• 規制やコンプライアンスに関する知識(同44%、57%)

サイバーセキュリティに関する主要なKPIについては取締役会とCISOの間で意見が一致しています。ただし、79%のCISOが、この数年間でセキュリティチームのKPIが大きく変化したと感じています。また、成功指標としてセキュリティマイルストーンの達成を挙げた割合が、CISOでは46%であったのに対して、取締役ではわずか19%でした。

コンプライアンスの維持がビジネスに不可欠

規制の状況は複雑さを増し、適用対象が拡大して、罰則が厳しくなっています。より迅速なインシデント報告が義務付けられ、CISOの責任が重くなっているのです。コンプライアンスの維持がビジネスに不可欠になる一方で、パフォーマンスを評価するための最重要指標としてコンプライアンスを挙げたCISOは15%にとどまり、取締役員の45%と大きな差が開きました。また、21%のCISOが、コンプライアンスの問題について報告しないように圧力をかけられたことがあると回答しています。ただし、59%が、もし組織がコンプライアンス義務を無視したら内部告発すると回答しています。

わずかなコスト削減が招く深刻な結果

サイバーセキュリティ予算に関する質問では、一貫した支援の欠如と認識の違いが明らかになりました。サイバーセキュリティイニシアチブの推進やセキュリティ目標の達成に十分な予算が割り当てられていると回答したCISOは29%にとどまった一方で、41%の取締役員がサイバーセキュリティ予算は適切だと考えています。そして、64%のCISOが、現在の脅威や規制の状況を踏まえると、対策が不十分だと懸念しています。また、18%のCISOが、過去12カ月間に、予算が削減されたためにビジネスイニシアチブの支援を中止せざるを得なくなったことがあると明かし、64%が、支援の欠如がサイバー攻撃につながったと回答しています。さらに、多くのCISOがコストを削減するために、セキュリティソリューションやツールの削減(50%)、セキュリティ人材の雇用凍結(40%)、セキュリティトレーニングの縮小や廃止(36%)などの手段を取っています。この状況の中で、CISOの実に94%が、大規模なサイバー攻撃を受けたことがあると回答しています。しかも55%が少なくとも数回、さらに27%がかなりの数の攻撃を受けています。 

『2025年版CISOレポート』は、SplunkのWebサイトからダウンロードしていただけます。

調査方法

このグローバル調査は、Oxford Economics社の協力のもと、2024年6月から7月にかけて、600人の回答者(500人のCISO、CSO、または同等のセキュリティリーダーと、100人の取締役員)を対象に実施されました。回答者には、取締役員を自認するCISOも含まれています。対象となった国は、オーストラリア、フランス、ドイツ、イタリア、インド、日本、ニュージーランド、シンガポール、英国、米国の10カ国です。対象となった業界は、農業、ビジネスサービス、建設・エンジニアリング、教育、エネルギー・公益事業、金融サービス、行政、医療・ヘルスケア、ライフサイエンス、情報サービス、テクノロジー、製造、リテール(小売)、消費財、電気通信、メディア・通信の16業界です。さらに、Oxford Economics社は、定性的なインサイトを収集するために、CISOと取締役員を対象に、詳細なヒアリングを8回実施しました。