経営・事業の役割に必要な権限が与えられていない--CISOの課題が明らかに（IPA）

IPAは、「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2018.3.30 Fri 8:00

文献調査で示されたCISO 等に求められる役割の共通要素・主な要素全 3 枚拡大写真

独立行政法人情報処理推進機構（IPA）は3月28日、「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について発表した。同調査は、CISOおよびその補佐役となる橋渡し人材等のセキュリティ推進者が担う役割、特にセキュリティへの取り組みが経営と事業に貢献するようマネジメントする役割（経営・事業に関する役割）について、その実態や期待されている内容を調査したもの。調査は、文献調査・有識者へのインタビュー調査・アンケート調査により実施している。

国内外の文献調査の結果では、CISO等は自社の経営、事業の内容やプロセスを理解した上で役割を果たすことが求められており、技術的役割に加え経営・事業に関する役割が重要になると考えられるとしている。また、「CISO等に指示すべき重要10項目」「CISOに係る現状の問題点と解決策」「CISO等の責任範囲と要求スキル・経験」などをまとめている。

有識者へのインタビューでは、文献調査では言及されていなかったCISO等に求められる経営・事業的役割として、「事業現場の利便性を考慮したルールの策定」を挙げている。また、文献調査でも言及されていた「社内外とのコミュニケーション」は、有識者調査でも重要性が指摘された。さらに、日本企業における課題として、「経営・事業に関する役割に必要となる権限が、CISOに与えられていないから役割を果たせない」「オペレーションの機能（経営層が示した戦略と現場の個別の取組みを調整する機能）が重要であるが、それを実行できるCISO等が十分いない」ことを挙げている。

アンケート調査では、経営層の75％超が、CISO等セキュリティ推進者の役割として、経営・事業に関する役割を重要視していることを挙げた。しかし現在、コーポレートガバナンス（経営に関する役割）や事業貢献の役割を担っているCISO等セキュリティ推進者は半数以下にとどまっていることが明らかになっている。

《吉澤亨史（ Kouji Yoshizawa ）》