今後CISOに求められるのはIQよりEQ (感情指数)、エフセキュアがCISOを対象とした調査レポートを発表

2021年2月18日: 先進的サイバー・セキュリティ・テクノロジーのプロバイダーであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、エフセキュア) は、同社が2020年7月～9月にかけて欧米のCISO (最高情報セキュリティ担当者) 28名を対象に実施したCISOの役割および意識に関する調査をまとめたレポートの第1弾を発行しました。

従来、CISOには技術的な役割が優先して求められ、それ以外のスキルは二の次として扱われてきました。しかし、今回の調査ために欧米各国CISOへの綿密な取材を実施した結果、この発想は急速に時代遅れなものになりつつあることがわかりました。

調査に対する回答者1人である、米国の電力・公益事業持ち株会社であるAES CorporationでCISO兼バイスプレジデントを務めるScott Goodhart (スコット・グッドハート) 氏は次のように話しています。
「企業にとって、サイバーセキュリティのリスクに関連する技術的な側面は、他のビジネスリスクと同様に扱われ始めています。一旦攻撃を受ければダウンタイムや恐喝、知的財産の盗難などで数千ドル、数十万ドルの損害を被る可能性があり、それを単なるITやサイバーセキュリティの問題としてだけ扱うのは意味がありません。技術のみが売りの CISO は過去のものとなり、企業にとってより広範で包括的な方法でリスクに対処する上で、頼られる存在となっているのです。」

取材に応じたCISOの3分の2は、社内外の様々な人々について理解し、共感し、交渉する上で、IQ (知能指数) よりもEQ (感情指数) が果たす役割がますます重要になっていると考えています。

また、回答を寄せたCISOの4分の3は、純粋にネットワーク上のリスクに焦点を当てていたそれまでの役割から、現在導入しているテクノロジーのあらゆる要素をカバーする役割へと変化したと回答していますが、その変化はヘルスケア、製造業、小売業におけるCISOに最も顕著に現れています。

エフセキュアのMDR (マネージドによる検知と対応サービス) 部門担当エグゼクティブバイスプレジデントであるTim Orchard (ティム・オーチャード) はCISOに求められる役割の変化について、以下のように語っています。
「現在、CISO は様々な課題を理解しリスクを軽減し、その情報が技術的なものであるかどうかに関わらず、取締役会、従業員、外部のセキュリティの専門家、規制当局、さらには法執行機関まで、全ての人々に伝えることが求められています。『ソフト』スキルに頼ることへのシフトは数年前から始まっています。しかし、新型コロナウィルスのパンデミックにより、企業内外の人々と積極的に連携することで CISO がいかに企業のリーダーとなり得るかが明らかになったのです。」

調査レポートからの抜粋：

• 取材を受けたCISOの3分の2は、他社のCISOとの意見交換会など、外部のコミュニティとの交流にかなりの時間を費やしていた。
• 回答を寄せたCISOの半数以上が、規制やプライバシーによりCISOの責任が重くなっていると感じている。
• 取材対象のCISOの65%が、自身の役割が自社のビジネスにとって重要であると考えています。
• ほとんどのCISOは取材時には自分のポジションの今後に安心感を抱いていたが、3分の1以上のCISOは離職や転職を考えている。

調査レポート『CISOの新たな夜明け』は、欧米のCISO 28名への綿密なインタビューをもとに作成しています。第一章は以下のページからダウンロードいただけます。
https://blog.f-secure.com/ja/cisos_new_dawn