最高情報セキュリティ責任者(CISO)の職務は、IANSによると、副社長や部長よりも経営幹部レベルの職位として認識される可能性が高くなり、ビジネスに対する重要性が高まっていることを示しています。
この調査・アドバイザリー企業は、北米のCISO 662人へのインタビューに基づいて2026年CISOの状況レポートをまとめました。
調査結果によると、回答者の46%が現在経営幹部タイトル(例:EVP、SVP)を保有し、27%が副社長、27%が部長です。これはセキュリティリーダーシップの状況における「構造的な転換」を示していると、IANSは主張しています。
「CISOは単なる技術的リーダーとしてだけでなく、企業全体のストラテジストとして機能することがますます期待されている」と報告書は指摘しています。
「経営幹部の階級への上昇は、より大きな影響力をもたらしますが、同時により大きな要求も伴っており、より広範な説明責任、より多くの部門横断的な関与、上級管理職と取締役会からのより強化された期待と監視が含まれます。」
CISOロールについてもっと読む:CISOは取締役会の影響力を大幅に増加させるが、それでもソフトスキルに欠ける
レポート向けにインタビューを受けたCISOの課題は、限られたリソースでこれらのより大きな要求に対応することです。
回答者の50%以上(53%)は、過去1年間で自分の職務が拡大したと述べています。ほとんどのCISOが、SecOps、セキュリティアーキテクチャとエンジニアリング、GRC、アプリケーションセキュリティ、IAM、コンプライアンス、サプライヤーリスク管理、BC/DR、プロダクトセキュリティに対する責任を持つようになりました。
しかし、IANSが調査したCISOの50%以上(52%)は、特に小規模な組織では、自分たちのスコープはもはや完全に管理可能ではないと述べています。この不均衡は戦略的イニシアティブを遅延させ、リアクティブなセキュリティの可能性を高める可能性があると彼らは警告しています。
「CISO職は明らかにインフレクションポイントに到達した」とIANS上級ディレクター(CISOリサーチ)のニック・カコロフスキー氏は述べています。
「経営幹部レベルのタイトルはより一般的になっていますが、多くのCISOは依然として職務に対して現在置かれているスコープと期待に対応していない従来の構造内で活動しています。」
セキュリティが二つに分裂
経営幹部レベルの認識にもかかわらず、ほとんどのCISO(64%)はまだIT部門(通常はCTOまたはCIO)に報告し、わずか36%がビジネス部門に報告しています。
しかし、これは変わりつつあり、経営幹部の職位を持つ人々はCEO/CFO/COO/CROまたは一般法務顧問に報告する可能性が高くなります。最大規模の企業(収益10億ドル以上)では44%が報告し、より小規模な組織(収益10億ドル未満)ではさらに大きな割合(64%)が報告しています。
IANSは主張しており、セキュリティは事実上2つのモデルに分裂しています:
- 大企業(特に上場企業)では、セキュリティはコア企業リスク機能としてますます扱われ、ビジネスまたはリスク幹部に報告することが多い経営幹部レベルのCISOによって指揮されています
- 中堅企業では、セキュリティはより一般的にはIT部門の細分部門として組み込まれ、CIOまたはCTOに報告するディレクターレベルのCISOによって監督されています。または名ばかりの経営幹部タイトルを持つCISO
翻訳元: https://www.infosecurity-magazine.com/news/ciso-role-inflexion-point/
