EY Japanは8月21日、「イバーセキュリティを“守り”から“価値を生み出す攻めの機能”へと進化させるインサイト調査」を発表した。
この調査は、日本を含む米国、アジア太平洋、EMEIA(欧州、中東、インド、アフリカ)などを含む19カ国、16業界、年間売上高10億米ドル(約1400億円)以上の企業の経営幹部とサイバーセキュリティ責任者551名を対象に実施されたもの。サイバーセキュリティ部門がどのように企業に価値をもたらしているのかについて洞察を提供している。
レポートは次の3章で構成されている。
第1章 サイバーセキュリティの本質的価値とは?
第2章 サイバーセキュリティの簡素化とAI主導の自動化によるコスト削減
第3章 CISOが戦略的意思決定の場に加わり影響力を発揮するための3つの行動
レポートは、CISOのポジションについて、「緊急性の高い戦略的意思決定において初期段階で意見を求められたと回答したCISO(Chief Information Security Officer、最高情報セキュリティ責任者)は、全体のわずか13%にとどまっています」としたうえで、「CISOの58%が、サイバーセキュリティの価値をリスク軽減以外の観点から明確に示すことが難しいと感じており、サイバーセキュリティがもたらす価値を社内で明確に示すことに苦慮しています」と指摘している。
そしてそうしたポジションにあるCISOが、セキュリティ費用の最適化に向けて実施している施策が下の図表である。
また、AI関連のセキュリティ投資では「検知・監視や予防的リスク管理が最も優先されている」という。これは、企業が脅威への迅速な対応とリスクの未然防止を重視していることを示している。
レポートでは、CISOが戦略的意思決定の場でより大きな影響力を発揮するために「次の3つの行動が重要」と述べている
❶ CISOの役割の在り方を見直す
CISOは、自身の役割を部門内の技術的実務者から、企業全体に戦略的に価値をもたらすセキュアクリエイターへと進化させる必要がある。
❷ サイバーセキュリティ予算の枠と配分を見直す
CISOは、サイバーセキュリティ部門を価値の向上に貢献する機能として社内に位置づけるとともに、サイバーセキュリティ予算の配分においても的確に判断を下す必要がある。
➌ AI導入を推進し、経営層や取締役との信頼関係を深める
CISOは、AI導入を推進する戦略的パートナーとしての立場を確立することで、社内で高い信頼を得ることができ、その結果、全社的な変革の取り組みにおいて意思決定の場に加わり、影響力を発揮できる。
[i Magazine・IS magazine]
