ビジネスにデジタルが深く浸透し、顧客接点やビジネス遂行手段となっている今、セキュリティ対策の意味合いも大きく変化している。既存の資産や信頼を単に「守る」だけではなく、巧妙化するサイバー攻撃、AI（人工知能）をはじめとするテクノロジーの進化など、外部環境変化に対応しながら安全に収益・ブランドを伸ばすための「攻め」の施策としての意義が強まっている。事実、「セキュリティ対策はコストではなく投資」といった考え方も重視されるようになって久しいが、そうした考え方は企業内に浸透しているとまでは言えないようだ。

税務、会計、コンサルティングサービスなどを提供しているEY（Ernst & Young）は、2025年8月21日、グローバル調査レポート「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」（EY Global Cybersecurity Leadership Insights Study 2025）を発表した。

日本を含む米国、アジア・パシフィック、EMEIA（欧州、中東、インド、アフリカ）などを含む19カ国、16業界、年間売上高が10億ドル以上の企業に所属する551人の経営幹部とサイバーセキュリティ責任者を対象に行い、「サイバーセキュリティ部門がどのように企業に価値をもたらしているか」について聞いたところ、「新製品・新サービスの開発」「顧客体験の向上」「全社的な変革の推進」など社内の主要な取り組みで、「一般的に11〜20％に相当する価値を創出」しており、金額的には「3600万ドル（中央値／2025年9月1日時点で約53億円）の付加価値を生み出している」と分かったという。

ただ、サイバーセキュリティ予算の売上高比率は、過去2年間で1.1％から0.6％へと減少傾向に。緊急性の高い意思決定において「初期段階で意見を求められた」と回答したCISO（Chief Information Security Officer、最高情報セキュリティ責任者）は、全体のわずか13％にとどまった。また、CISOの58％が、「サイバーセキュリティの価値をリスク軽減以外の観点から明確に示すことが難しい」と感じており、セキュリティ対策が価値を社内で明確に示すことに苦慮していることがうかがえたという。

CISOは「部門内の技術的実務者」から「企業全体に価値をもたらす役割」へ

