Gartner、「サイバーセキュリティリーダーの役割が再構築の対象に」：サイバーセキュリティがESG目標の対象に

Gartnerはサイバーセキュリティリーダーの役割を進化させる必要があるという見解を発表した。IT部門以外の幹部がサイバーリスクに関する説明責任を担うようになっていることに加え、エコシステムの分散化に伴い、サイバーセキュリティリーダーが直接コントロールできる意思決定の範囲が縮小しているためだ。

[＠IT]

　Gartnerは2022年2月24日（米国時間）、サイバーセキュリティリーダーの役割を進化させる必要があるという見解を発表した。IT部門以外の幹部がサイバーリスクに関する説明責任を担うようになっていることに加え、エコシステムの分散化に伴い、サイバーセキュリティリーダーが直接コントロールできる意思決定の範囲が縮小しているためだ。

　Gartnerによると、セキュリティとリスク管理（SRM）のリーダーは、外部関係者のサイバーヘルス（健全性）を評価したり、これに影響を与えたりすることに、より多くの労力を費やすようになっている。従業員がサイバーリスクに影響する意思決定を行うことが多くなり、サイバーセキュリティリーダーが関与しない執行委員会の設立も進んでいる。

　Gartnerのアナリストはこれらの要因によって、現在サイバーセキュリティリーダーのコントロール下にある意思決定の多くが、今後は直接的なコントロールの対象ではなくなると予想している。

サイバーリスクの責任を負うビジネスリーダーが増加

　Gartnerの調査によると、取締役会の88％がサイバーセキュリティを、ITの技術的な問題ではなく、ビジネスリスクと見なしている。また、取締役会の13％がこのような認識に従って、専任の取締役が監督するサイバーセキュリティに特化した取締役会委員会を設置している。

　2026年までにCxO（最高責任者レベルの役員）の少なくとも50％は、サイバーセキュリティリスクに関連する業績要件が、雇用契約に盛り込まれるようになると、Gartnerは予想している。

　この流れは、情報リスクに関する意思決定の適時性と質に影響を与えることになる。こうした意思決定を、ITやセキュリティの担当者以外のステークホルダーが行うケースが増えている。これを受けてGartnerは、CEO（最高経営責任者）に対して戦略目標（売上高、顧客満足度など）の達成責任を負うビジネスリーダーに、サイバーリスクの正式な説明責任が移行することは、避けられないと見ている。

　Gartnerのアナリストは、こうした状況変化の中でサイバーセキュリティリーダーが成功を収めるには、その役割を図のように再構築する必要があると述べている。

再構築が必要なサイバーセキュリティリーダーの役割（提供：Gartner）

　「CISO（Chief Information Security Officer：最高情報セキュリティ責任者）の役割は、サイバーリスクに対処する“事実上の”責任者から次の段階へと進化しなければならない。今後は『ビジネスリーダーが情報リスクについて、情報に基づいて質の高い決定を行うために必要な能力と知識を持つこと』に関する責任者がCISOになる」と、Gartnerのリサーチディレクターを務めるサム・オリヤイ氏は述べている。

サイバーセキュリティはESG開示の一部に

　投資家の関心や世論の圧力、従業員の要求、政府の規制を背景に、企業が「環境、社会、ガバナンス」（ESG）の取り組みの中で、ビジネス要件として、サイバーセキュリティの目標とその達成状況の指標を追跡、報告するインセンティブが高まっている。

　その結果として、2026年までに大企業の30％が、サイバーセキュリティに焦点を当てたESG目標を公表するようになると、Gartnerは予想している。なお、2021年には、この割合は2％に満たなかった。

　Gartnerのリサーチディレクターを務めるクロード・マンディ氏は、次のように述べている。「組織がセキュリティリスクについて透明性を高めるべきだという期待が高まり、その結果、ESG報告における透明性の向上を求める社会的な要求が高まっている。サイバーセキュリティは、もはや組織だけのリスクではなく、社会的なリスクとなっている」