日本と世界のトップ企業のCISO設置率とセキュリティ意識の差

日本と世界のトップ企業のCISO設置率について解説する前に、まずCISOの基本を理解しましょう。CISOとは、（Chief Information Security Officer）の略称で、企業における情報セキュリティを統括する責任者のことです。日本語では「最高情報セキュリティ責任者」と呼ばれます。

CISOは、企業や組織内の情報資産を守るべく、セキュリティポリシーの策定やセキュリティリスクの管理・対策などを最前線で行います。具体的な業務内容は企業によって異なりますが、セキュリティに関する技術的側面と、経営に関する意思決定を行うマネジメント的側面を併せ持つことが大きな特徴です。

CISOを設置することにより、権限のある責任者がセキュリティに関して迅速かつ実行力のある判断や指示を行うことが可能になります。近年ではセキュリティリスクの高まりを受け、CEO（最高経営責任者）やCIO（最高情報責任者）とは別にCISOを設置する企業が増えています。

上記のインフォグラフィックは、世界、日本、そしてアメリカのトップ100企業のCISO設置率を比較したものです。

今回、日本とアメリカ、世界のトップ企業のCISO設置率の違いを理解するため、「日本の売上TOP100企業」「世界のTOP100企業」「アメリカTOP100企業」のCISO設置率を調査しました。

日本の上場企業のランキングトップ100社と2022年最新版の「フォーチュングローバル500（Fortune Global 500）※1」「フォーチュン 500（Fortune 500）※2」のそれぞれ上位100社のうち何％の企業がCISOを設置しているかを独自で調査しています。

ただし、フォーチュングローバル500のトップ100社には、日本の企業が7社含まれています。本記事では、「日本のトップ企業」と「世界のトップ企業」のCISO設置率を比較しているものの、比較対象が「日本を除く世界のトップ企業」ではありませんので、その点はご注意ください。

世界中の会社を対象とした「フォーチュングローバル500」のトップ100社のCISO設置率は「63％」でした。世界のトップ企業の半数以上がCISOを設置しているという結果でしたが、アメリカだけに絞ってみるとCISO設置率はさらに高くなります。

アメリカのトップ企業は89%がCISOを設置

アメリカに籍を置く企業を対象とした「フォーチュン 500」では、89％もの企業がCISOを設置しているという結果に。たとえば、総収益ランキング1位のWalmartはCISOを2名、2位のAmazonはCISOを5名設置しています。

実際に、アメリカのテックメディア「TechRepublic」では、CISOの重要性や責任・役割の範囲が増えていることなどが報告されており、アメリカの企業にとってCISOは極めて重要なポジションになっていることが見受けられます。

日本のトップ企業のCISO設置率は、43％でした。世界のトップ企業の63％、アメリカのトップ企業の89％と比べるとまだ低い水準にあることが分かります。

日本のトップ企業のCISO設置率が世界と比べて低いことには、さまざまな要因が考えられますが、その一つに「セキュリティ人材の不足」があります。NRIセキュアテクノロジーズ株式会社が実施した「企業における情報セキュリティ実態調査2022」によると、日本企業のうち「セキュリティ人材が不足している」と回答した企業は89.8％にも及んでいます。同調査の同じ質問の集計結果において、アメリカ企業は9.7％、オーストラリア企業は10.8％であったことを考慮すると、圧倒的なセキュリティ人材不足は日本の大きな課題であり、世界と比べてCISOの設置率が低い要因のひとつであると考えられます。

では現在、日本企業で働くCISOはどのような課題に直面しているのでしょうか？ここでは、CISOが抱える問題を2つピックアップして紹介します。

• セキュリティ予算・人材不足
• リモートワーク下におけるセキュリティ対応

課題1：セキュリティ予算・人材不足

近年、サイバー攻撃の脅威が高まる中、セキュリティリスクは増大し、企業に大きな打撃を与える可能性があります。しかし、日本ではCISOの設置率が低いことに加え、セキュリティ予算が少ない傾向も見受けられます。

実際に、NRIセキュアテクノロジーズの調査によると、日本企業の6割は、IT関連予算に占めるセキュリティ関連予算の割合が10％未満であったという結果が出ています。日本のセキュリティ予算は世界と比べて少ないこともあり、CISOが自社のセキュリティに対して十分な防衛をすることが難しいという現状です。セキュリティ対策を万全にするためには、セキュリティ予算・人材を含む社内のセキュリティリソースをしっかり確保していく必要があるでしょう。

課題2：リモートワーク下におけるセキュリティ対応

新型コロナウイルスの感染拡大により、日本でもリモートワークが普及しました。リモートワーク下では、従業員が自宅やシェアオフィスなど、さまざまな場所から社内ネットワークにアクセスしたり、個人所有のデバイスを使用して業務を行ったりするようになりました。このような利便性の裏には、サイバー犯罪者にも社内ネットワーク侵入を許してしまうという危険性が潜んでおり、CISOはセキュリティ対応に追われています。

リモートワーク下において、サイバー攻撃のリスクに配慮ができていないと、企業が直面するセキュリティリスクは非常に高くなります。リモートワークが普及した今、セキュリティを犠牲にすることなく、従業員の利便性や生産性を向上させることこそがCISOの課題であると言えます。

では、CISOが直面する課題を解決し、明るい将来へとつなげていくにはどうすればいいのでしょうか？

まずは、セキュリティインシデントが企業に及ぼす被害の可能性をしっかり理解することが大切です。CISOを設置することでセキュリティ予算確保の必要性を認識し、セキュリティ対策の整備や見直しを行うことが不可欠でしょう。

また、リモートワークをはじめ、働き方が多様化している現代では、従業員にVPN接続を提供することも有効な手段となります。VPNを導入することで、遠隔地で働く従業員は仮想のトンネルを経由して企業ネットワークに接続できるようになるため、情報漏えいやサイバー攻撃のリスクを抑えることができます。

VPNを活用することで、セキュリティを犠牲にすることなく、自宅やシェアオフィス、公共の場であっても、オフィスに近い業務環境を実現することが可能になります。

まとめ：セキュリティリスクの対処方法

日本国内でもサイバー攻撃のリスクが高まっている昨今、CISOの役割はますます重要なものになりつつあります。日本のトップ企業におけるCISOの設置率は43％と、世界のトップ企業の63％、アメリカのトップ企業の89％と比べるとまだ低い水準です。今後、セキュリティリスクを抑えるためには、セキュリティリソース（CISOやセキュリティ投与予算など）をしっかり確保していく必要があるでしょう。

また、CISOがセキュリティリスクの高まりに対処する方法は数多くありますが、そのうちの一つがVPNを導入して組織をサイバー攻撃から保護する方法です。利便性の向上に伴いセキュリティリスクも大きくなりがちなリモートワーク下では、VPNなどのセキュリティツールを活用し、セキュリティを強化していきましょう。