Splunkによる新たな調査によれば、CISOは取締役会で存在感を増している一方で、多くの経営幹部(C-suite)の同僚は、ビジネススキルやソフトスキルの向上にはまだ取り組む余地があると考えている。
同社は、世界中のCISOまたは同等職500人と取締役100人を対象に調査を実施し、The CISO Report 2025をまとめた。
その結果、現在ではセキュリティリーダーの82%がCEOに直接報告しており、2023年の47%から増加している。さらに83%が、取締役会会議に「やや頻繁に」または「ほとんど常に」参加していると回答した。
取締役側の回答者も、戦略的なサイバーセキュリティ目標の設定と整合、マイルストーンに対する進捗の共有といった領域で、CISOとの業務上の関係が「非常に良い」または「良い」と報告した。
取締役会の政治事情について詳しく読む:英国の取締役会はサイバーリスクへの懸念を弱めつつある。
しかし同レポートは、セキュリティリーダーと取締役会側の同僚との間に、根強いギャップが残っていることも浮き彫りにした。
取締役のほうがCISOよりも、セキュリティ責任者に次のようなスキルを伸ばしてほしいと望んでいる:
- ビジネス感覚(55% 対 40%)
- 感情知能(45% 対 35%)
- コミュニケーション(52% 対 47%)
さらにSplunkは、多くの組織で予算をめぐる対立があることも明らかにした。
目標達成に十分な予算を得ていると答えたCISOは29%にとどまったのに対し、機能として十分な資金があると考える取締役は41%だった。こうした見方は個人的な経験に裏付けられている。過去1年で、予算削減のために事業施策を支援できなかったとするCISOは約5人に1人(18%)に上り、支援不足がサイバー攻撃につながったと64%が回答した。
整合の時
SplunkのCISOであるマイケル・ファニング氏は、両者を結び付けるには、取締役会にサイバーセキュリティについて教育するとともに、CISOがセキュリティをビジネスの推進要因として位置付ける方法を理解できるよう支援する必要があると主張した。
同氏は「サイバーセキュリティがビジネス成功を推進するうえでますます中核となるにつれ、CISOと取締役会には、ギャップを埋め、より高い整合を得て、デジタル・レジリエンスを推進するために互いをよりよく理解する機会が増える」と付け加えた。
「CISOにとっては、IT環境の枠を超えてビジネスを理解し、セキュリティ施策のROIを取締役会に伝える新たな方法を見いだすことを意味する。取締役にとっては、セキュリティ・ファーストの文化にコミットし、企業リスクとガバナンスに影響する意思決定においてCISOを主要なステークホルダーとして相談することを意味する。」
2024年のTrend Microのレポートで明らかになったのは、多くのCISOが取締役会側の同僚との間で、根強い信頼性のギャップに直面しているということだ。
同レポートは、79%が自組織が直面するサイバーリスクの深刻さを過小評価するよう取締役会から圧力を感じたことがあるとし、3分の1は取締役会から「一蹴」されたことがあると主張している。
翻訳元: https://www.infosecurity-magazine.com/news/cisos-increase-boardroom-influence/
