約4割の日本企業で「セキュリティインシデントに関する最終責任者が不明確」 ファストリー調査:有識者は「責任は一個人に帰属するものではない」と指摘
ファストリーは2025年5月20日、企業の最高情報セキュリティ責任者の説明責任に関する調査結果を発表した。それによると「セキュリティインシデントに関する最終責任者が不明確」という企業が37%あった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ファストリーは2025年5月20日、企業の最高情報セキュリティ責任者(CISO)の説明責任に関する調査結果を発表した。この調査は、北米、欧州、アジア太平洋地域、日本の大規模企業に勤めるIT責任者を対象に実施し、1800人から有効回答を得た。
説明責任に影響する「組織の明確なコミュニケーション」とは?
「近年、データ侵害に対する企業の説明責任に注目が集まり、CISOの責務拡大に対する懸念が増大している」とファストリーは指摘する。その背景には、米国証券取引委員会(SEC)が、サイバーセキュリティリスク管理、戦略、ガバナンス、公開企業によるインシデント開示に関する規制を強化したことがあるという。
調査結果によると、こうした“CISOの責務拡大に対する懸念”に対処するため、過去1年間にポリシーを変更した日本企業の割合は86%。取締役会での戦略的意思決定にCISOの関与を増やしている日本企業の割合は32%だった。さらに、32%が、過去1年間で賠償責任保険を含むサイバーセキュリティチームへの法的支援を改善し、セキュリティにより多くのリソースを割り当てていた。
このようにセキュリティへの関心は高まっているが、説明責任の面では課題が残る。調査結果によると、日本企業の37%でセキュリティインシデントに関する最終責任者が不明確だった。ファストリーは「企業が責任を内在化させており、規制ガイダンスをセキュリティ体制の改善につなげる際の大きな課題になっている」と分析している。
ファストリーの今野芳弘氏(カントリーマネジャー)は次のように述べている。
「サイバーセキュリティの責任は一個人に帰属するものではない。リスク軽減の方法と仕組みの実装には、組織の各レベルでの明確なコミュニケーションが必要だ。つまり、経営層と現場の間でセキュリティリスクや対応方針の共通認識を持つため、情報を正確かつ分かりやすく伝達する必要がある」
関連記事
AIによる自動化が進む中、専門人材によるITサービスは高騰へ
多くの企業はプロセスの効率化とコストの削減に向けて、自動化ソリューションの活用を進めている。その一方で、専門人材によるITサービスも求めている。Gartnerは2028年までに、ITサービスにおける人間の関与には最低20%の割増料金が課されるようになると予測している。
インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ガートナージャパンは、日本国内のセキュリティリーダーを対象にした情報漏えいの発生状況に関する調査結果を示し、AI時代の情報漏えい対策に不可欠な6つの要素を発表した。
ゼロトラスト、LotLランサムウェア――2024年CISOが直面するセキュリティ上の課題トップ6とは
Broadcomは、CISOの意思決定の在り方を大きく変えるサイバーセキュリティトレンド6選を同社の運営するセキュリティブランド「Symantec」の公式ブログで公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。