Digital Trust Insights 2023：なぜ日本企業にBISOが必要なのか

PwCはビジネス・テクノロジー・セキュリティなどの分野の経営者を対象に、サイバーリスクについて20年以上継続して調査（Global Digital Trust Insights）を実施しており、2023年度は3,522名を対象に調査を行いました。

本稿では調査結果を基に、セキュリティ強化のうえで日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

目的	・セキュリティ強化のうえで、グローバルと比較した際の日本企業が抱える課題を明らかにする・日本企業が抱える課題解決のためのアプローチ案を提供する
調査テーマ	今後12～18カ月間に組織内のサイバーセキュリティを向上させるための課題と機会について
調査対象	66カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,522名
調査期間	2022年7～8月
調査結果の概要	累積的な投資により組織のセキュリティが向上した一方、進化を続ける未知のサイバー脅威に対し、多くの企業は準備が十分でないことが判明。サイバー脅威にダイナミックに備えるため、C-suite（企業経営陣）のさらなる連携・結束が求められる。

セキュリティ強化のうえで日本企業が抱える課題

進化を続ける未知なるサイバー脅威に備えるため、企業経営陣のさらなる連携・結束が今後ますます重要になると考えられます。しかし、グローバルに比べ日本企業は、サイバーセキュリティに関して経営陣が一致した見解を得にくいことが判明しています。

2022年度にCISO（最高情報セキュリティ責任者）を対象に行った調査では、グローバル平均で51%がサイバーセキュリティに関して経営陣と見解が一致したと回答したのに対し、日本企業では23%にとどまりました（図表1）。Global Digital Trust Insightsの調査より判明した、グローバルと比較した際の日本企業が抱える下記の課題はこれに起因していると考えられます。

課題1：組織のサイバーリソースを効果的に活用できていない

日本企業もセキュリティ強化のための取り組みをさまざま実施していますが、グローバル平均には及んでいないのが現状です。「サイバーリソースの価値と効率の向上」については、グローバル平均が75%であったのに対し、日本企業では63%と乖離が見られました。

組織のサイバーリソースの価値と効率の向上はセキュリティ強化のうえで重要であるため、今後セキュリティ対策を推進するうえで費用対効果を得にくくなる可能性があります。

課題2：インシデント発生時における情報公開への対応が十分でない

企業においてインシデントが発生した際、情報公開への対応がグローバルと比べ十分でないことが明らかとなっています（図表3-1,3-2）。「インシデント発生時に、サイバーに関連する専門的見解を取締役会で述べられる」ではグローバル平均に比べ13%、「インシデント発生における情報公開ポリシーが整備されている」でも13%の乖離があります。また、米国や中国と比較するとその差はさらに開いており、日本企業は、インシデント発生時に専門的見解を持ち合わせて状況を正確に把握する経営体制がグローバルに比べ不十分であると考えられます。

課題3：レジリエンスのあるセキュリティ対策を推進できていない

セキュリティ対策を推進するうえで、従来はあらかじめ定義された個別の計画やプロセスに従っていました。しかしサイバー脅威が高まるにつれ、近年は多様なセキュリティ事象に対応するための、統合的かつ機動的なオペレーションモデルに従う傾向にあります。それでも、米国や中国をはじめグローバルと比較すると、日本企業は依然として中長期的なサイバーセキュリティ戦略に基づいて運用・技術方針を策定し、セキュリティ対策を推進する傾向にあることが判明しています。

BISOによる解決策

米国をはじめとしてグローバルでは、企業が展開するビジネスに対して投資家からの理解を得るためにデジタル領域のバックグラウンドを持つ人物が企業経営に携わることが主流になりつつあります。結果として、セキュリティなどテクノロジーに関して経営陣の見解がまとまりやすく、ビジネスにおいてテクノロジーの利活用が積極的に進んでいます。日本企業でもその傾向を追随しつつありますが遅れていると考えられ、グローバルに比べ経営陣の見解が一致しにくいことによりセキュリティ強化のうえで前述のような課題が生じていると考えられます。

課題解決のためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。

近年、ビジネス視点でセキュリティ業務を担うBISO（Business Information Security Officerの略）の設置がグローバル企業を中心に進んでいます（図表5）。下記に示すスキルセットを保有するBISO（図表6）は、CISOと事業部とのコミュニケーションの架け橋となる役割を担い、日本企業に見られる、セキュリティに関する見解が経営陣の間で不一致になりやすい現状を打破し、情報セキュリティの迅速な推進への貢献が期待されます。

ビジネスにセキュリティ要件が組み込まれることにより、製品・サービスの品質や顧客価値の向上が見込めることから、BISOは企業にとって今後欠かせない役割を果たす可能性があります。

総括

本調査の結果をふまえ判明した日本企業が抱える課題を解決するためのアプローチ案として、ビジネス視点でセキュリティ業務を担うBISOの組織への新設を提唱しました。CISOと事業部のコミュニケーションの架け橋となる役割を担う、企業がセキュリティ強化を推進するうえで欠かせない役割を果たすと見込まれます。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって、現状を理解しセキュリティ強化に寄与する一助になれば幸いです。