「名ばかり役員」CISOの末路 権限はあるが人がいない“52%の絶望”:報告先はCEOになっても、現場は火の車
IANS Researchの調査によると、企業におけるCISOの役割が「IT専門職」から「経営戦略の中核を担う存在」へと変化していることが明らかになった。昇進後の課題は。
セキュリティ研究機関IANS Research(以下、IANS)によると、最高情報セキュリティ責任者(CISO)が「IT分野の責任者」から「経営の中核を担う戦略的リーダー」へ転換する傾向が進んでいるという。同機関の調査によると、「エグゼクティブレベルCISO」の人数が、2025年の調査で副社長レベルやディレクターレベルの役職者の人数を初めて上回った。
CISOのその先 昇進で見える光と闇
同調査結果は、2025年1月、IANSが公開した「State of the CISO 2026 Benchmark Report」に掲載されたものだ。調査は、IANSの委託でArtico Searchが2025年4〜11月に実施し、企業のセキュリティリーダー662人が回答した。
調査では、
- Executive-level CISO
- Executive VP CISO
- Senior Vice President CISO
までを「エグゼクティブレベルCISO」と定義している。エグゼクティブレベルCISO以外のCISOの役職は以下があった。
- Vice President-level CISO
- Director-level CISO
調査の結果、年商10億ドルを超える大企業のうち47%が、自社のCISOをエグゼクティブレベルCISOに引き上げていることが分かった。これは2023年の33%から14ポイント増加しており、セキュリティ人材が経営層へ昇進する動きが強まっていることを示している。年商1億ドル未満の企業でも52%の企業が自社のCISOをエグゼクティブレベルCISOに引き上げていた。
企業規模全体の平均では、CISOの役職分布は以下の通りだった。
- Executive-level CISO
- 47%
- Vice President-level CISO
- 27%
- Director-level CISO
- 27%
CISOの役割はどう変化している?
IANSは調査結果から、「CISOが、技術に特化した専門家ではなく、企業のガバナンスや経営の意思決定に関わる戦略的リーダーと見なされつつある」と結論付ける。
「2025年は転換点となる年だった。サンプルデータの中で、『CISOの大多数が経営層レベルのCISOと認識できる』と言える規模に達した」。IANSのニック・カコロスキー氏(CISOリサーチシニアディレクター)はこう述べる。
セキュリティリーダーが経営層に昇格することによって、経営戦略レベルの課題と日常的な課題解決やインシデント対応を1人のリーダーが兼任する企業の事例は減少傾向にあるとカコロスキー氏は指摘する。経営戦略レベルの課題と日常的な課題解決やインシデント対応両方を横断するリーダーは依然として存在する。しかし、「エグゼクティブレベルCISOほど、日々の運用面の細かな対応は部下に委任する傾向が強まっている」と同氏は説明する。
IANSの調査結果からは、CISOが以下の負荷や企業に対する不満を抱えていることが分かった。
- 「現在のリソースでは職務を十分に遂行するのは困難」(52%)
- 「1年以内の転職を検討している」(69%)
この回答の背景には、責任の増大に伴う「燃え尽き症候群」の懸念がある。
CISOが抱える課題を報告する、コミュニケーションを取るための相談先にも変化が生じている。相談先を尋ねた質問では以下の回答が挙がった。
- 「最高情報責任者(CIO)や最高技術責任者(CTO)といったIT関連の役職者」(64%)
- 「CEO、最高執行責任者(COO)、法務総顧問、最高法務責任者、最高リスク責任者など、非IT部門の経営層」(36%)
さらに、エグゼクティブレベルCISOは、バイスプレジデントレベルのCISOに比べて2倍、ディレクターレベルのCISOに比べて3倍、ビジネスリーダーを直接の相談先にしていることが分かった。
Copyright © ITmedia, Inc. All Rights Reserved.