経営・事業の役割に必要な権限が与えられていない--CISOの課題が明らかに(IPA)
IPAは、「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
国内外の文献調査の結果では、CISO等は自社の経営、事業の内容やプロセスを理解した上で役割を果たすことが求められており、技術的役割に加え経営・事業に関する役割が重要になると考えられるとしている。また、「CISO等に指示すべき重要10項目」「CISOに係る現状の問題点と解決策」「CISO等の責任範囲と要求スキル・経験」などをまとめている。
有識者へのインタビューでは、文献調査では言及されていなかったCISO等に求められる経営・事業的役割として、「事業現場の利便性を考慮したルールの策定」を挙げている。また、文献調査でも言及されていた「社内外とのコミュニケーション」は、有識者調査でも重要性が指摘された。さらに、日本企業における課題として、「経営・事業に関する役割に必要となる権限が、CISOに与えられていないから役割を果たせない」「オペレーションの機能(経営層が示した戦略と現場の個別の取組みを調整する機能)が重要であるが、それを実行できるCISO等が十分いない」ことを挙げている。
アンケート調査では、経営層の75%超が、CISO等セキュリティ推進者の役割として、経営・事業に関する役割を重要視していることを挙げた。しかし現在、コーポレートガバナンス(経営に関する役割)や事業貢献の役割を担っているCISO等セキュリティ推進者は半数以下にとどまっていることが明らかになっている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/