(出典:Shutterstock)

「CISO」とは「最高情報セキュリティ責任者」の略称であり、企業の情報セキュリティ体制の要となる役職である。日本ではCISOを設置している企業は4割程度(従業員数が1万人以上の企業に限っても6割強)のようだが、米国では9割以上の企業がCISOを設置しているという(注1)

今回紹介させていただく報告書は、米国の大企業でCISOを務めている方々が、CISOとして望ましい資質を備えているかどうかを調査した結果である。本報告書は役員専門の人材紹介会社であるArtico Search社、コンサルティングファームのIANS Research社とThe CAP Group社の3社が共同で発表したものであり、下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://www.iansresearch.com/resources/infosec-content-downloads/research-report-insights/cisos-as-board-directors-ciso-board-readiness-analysis
(PDF 15ページ/約 16.8 MB)


本報告書では米国企業のうち「ラッセル1000指数」(注2)に含まれる大企業のCISOのうち330人が調査対象となっている。本報告書がユニークなのは、アンケート調査ではなく公開情報などから情報収集を行っているという点である。具体的にはリンクトイン(注3)や社外で講演した際のプロフィール、プレスリリース、インタビュー記事などから、米国の大企業のCISOがどのような経歴やバックグラウンドを持っているかを調査し、分析している。

まず本報告書では、サイバーセキュリティを担当する取締役に求められる5つの特質と、そのような特質を備えているとみなす基準を次のとおり定義し、調査対象のCISOがこれらを備えているかどうかを調べている。

・情報セキュリティに関する在職期間(Infosec tenure):CISOを5年以上、情報セキュリティ関連業務を10年以上経験していること。

・取締役の経験(Broad experience):情報セキュリティ以外の役割を担う取締役としての経験があること。

・広い視野(Scale):大規模な、グローバルな組織における情報セキュリティの責任者としての経験があること。

・高等教育(Advanced education):IT、工学、ビジネス、または法学に関する上級学位(学士号より上)を持っていること。

・多様性(Diversity):女性であるか、またはマイノリティ・グループの出身であることを自認していること。

図1は調査対象のCISOがこれらの特質を備えているかどうかを判定した結果である。この中で「R1000 CISOs」とはラッセル1000指数の企業のCISO(つまり調査対象全体)、「Board CISOs」とは調査対象のうちCISOと取締役を兼ねている人だけに絞った場合の割合を、それぞれ示している。

画像を拡大 図1.  CISOが5つの特質をどの程度備えているか (出典:IANS Research, Artico Search, The CAP Group / CISOs as Board Directors - CISO Board Readiness Analysis)

 


「情報セキュリティに関する在職期間」に関しては多くのCISOが基準を満たしている反面、他の特質に関してはかなり濃淡があるのが一目瞭然である。例えば「取締役の経験」については、CISOと取締役とを兼任している人の中でも、情報セキュリティ以外の分野を担当する取締役の経験がない人が3割程度いることが分かる。また「高等教育」や「多様性」においても、CISOと取締役とを兼任している人々と、そうでない人々との間での差が開いているのが目立つ。