重要な意思決定に関与したCISO、わずか13%:サイバーセキュリティの事業貢献度(中央値)は53億円。だが……
EY(Ernst & Young)が2025年8月21日に発表した「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」に見る「CISOの立ち位置」。
ビジネスにデジタルが深く浸透し、顧客接点やビジネス遂行手段となっている今、セキュリティ対策の意味合いも大きく変化している。既存の資産や信頼を単に「守る」だけではなく、巧妙化するサイバー攻撃、AI(人工知能)をはじめとするテクノロジーの進化など、外部環境変化に対応しながら安全に収益・ブランドを伸ばすための「攻め」の施策としての意義が強まっている。事実、「セキュリティ対策はコストではなく投資」といった考え方も重視されるようになって久しいが、そうした考え方は企業内に浸透しているとまでは言えないようだ。
税務、会計、コンサルティングサービスなどを提供しているEY(Ernst & Young)は、2025年8月21日、グローバル調査レポート「EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査2025」(EY Global Cybersecurity Leadership Insights Study 2025)を発表した。
日本を含む米国、アジア・パシフィック、EMEIA(欧州、中東、インド、アフリカ)などを含む19カ国、16業界、年間売上高が10億ドル以上の企業に所属する551人の経営幹部とサイバーセキュリティ責任者を対象に行い、「サイバーセキュリティ部門がどのように企業に価値をもたらしているか」について聞いたところ、「新製品・新サービスの開発」「顧客体験の向上」「全社的な変革の推進」など社内の主要な取り組みで、「一般的に11〜20%に相当する価値を創出」しており、金額的には「3600万ドル(中央値/2025年9月1日時点で約53億円)の付加価値を生み出している」と分かったという。
ただ、サイバーセキュリティ予算の売上高比率は、過去2年間で1.1%から0.6%へと減少傾向に。緊急性の高い意思決定において「初期段階で意見を求められた」と回答したCISO(Chief Information Security Officer、最高情報セキュリティ責任者)は、全体のわずか13%にとどまった。また、CISOの58%が、「サイバーセキュリティの価値をリスク軽減以外の観点から明確に示すことが難しい」と感じており、セキュリティ対策が価値を社内で明確に示すことに苦慮していることがうかがえたという。
CISOは「部門内の技術的実務者」から「企業全体に価値をもたらす役割」へ
同社は「CISOが意思決定の初期段階から関与することで、企業全体に新たな価値をもたらすことができる」とし、「サイバーセキュリティの自動化・簡素化によって得られるコスト最適化効果を定量的に評価する」などCISOの影響力を高めるための対策も提案。「AIによるサイバーセキュリティの自動化・簡素化は、170万ドル(年間中央値)のコスト削減効果をもたらす」と分析している。
本調査でも「サイバーセキュリティ費用の最適化」について聞いたところ、「テクノロジーの高度化」が過去2年以内に完了済み(22%)、「サイバーテクノロジーの合理化」が過去2年以内に完了済み(23%)、「サイバープラットフォームの簡素化」が過去2年以内に完了済み(18%)など、少なくない企業が対策の自動化・簡素化に取り組んでいることが分かった。また、「AI投資の優先領域」については、「早期検知と監視」(32%)、「予防的リスク管理」(26%)と、脅威への迅速な対応、リスクの未然防止を重視していたという。
同社では、本調査を受けて「CISOは自身の役割を部門内の技術的実務者から、企業全体に戦略的に価値をもたらす役割へ」「サイバーセキュリティ部門を、価値向上に貢献する部門と位置付け、その予算配分も的確に判断を下せる」など、CISOのあるべき役割を提言している。
事実、「サイバーセキュリティの価値をリスク軽減以外の観点から明確に示すことが難しい」とは国内でもよく聞かれるが、「経営のIT理解」が課題視されがちな中だからこそ、「自部門内のコスト効率」だけではなく、「自社全体における自部門のROI(投資利益率)」を測る視点が必要だろう。CISOは「AI導入を推進する戦略的パートナーとして経営層や取締役との信頼関係を深め、社内の立場を確立する」ことで、「意思決定の場に参加したり、影響力を発揮できたりするようになる」とも同社は指摘しているが、これもCISOに限った話ではなさそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
約4割の日本企業で「セキュリティインシデントに関する最終責任者が不明確」 ファストリー調査
ファストリーは2025年5月20日、企業の最高情報セキュリティ責任者の説明責任に関する調査結果を発表した。それによると「セキュリティインシデントに関する最終責任者が不明確」という企業が37%あった。FinOpsの日本での普及を目指し、FinOps Foundationが日本支部を設立
FinOpsの国際的推進組織であるFinOps Foundationは、日本支部ともいえる「Japan Chapter」を設立した。世界的に広がっているにもかかわらず、日本での認知度がまだ低いFinOpsの普及活動を進める。「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
2025年3月4日に開催されたITmedia Security Week 2025 冬の「アタックサーフェス」セクションで、イー・ガーディアングループ CISO 兼 EGセキュアソリューションズ 取締役 CTOの徳丸浩氏が『アタックサーフェスが「いまさら」注目されている理由とは』と題して講演した。