【ITニュース解説】重要な意思決定に関与したCISO、わずか13％

作成日: 2025年09月03日更新日: 2025年09月05日

ITニュース概要

企業のサイバーセキュリティを担う最高責任者（CISO）のうち、経営の重要な意思決定に関与しているのはわずか13％に留まるという調査結果が出た。セキュリティの専門家が、経営の中核から外されているという課題が明らかになった。

出典: 重要な意思決定に関与したCISO、わずか13％ | ＠IT公開日: 2025年09月01日

ITニュース解説

企業のセキュリティを守る最高責任者である「CISO（Chief Information Security Officer）」という役職について、その立場が多くの企業でまだ確立されていない現状を示す調査結果が発表された。EYが発表した調査によると、企業の重要なビジネス上の意思決定にCISOが初期段階から関与しているケースは、わずか13％にとどまるという。これは、多くの企業においてサイバーセキュリティが経営の中心課題として扱われていない実態を浮き彫りにしている。システムエンジニアを目指す上で、このニュースは技術とビジネスの関係性を考える重要な示唆を与えてくれる。 CISOの役割は、単にウイルス対策ソフトを導入したり、不正アクセスを防ぐファイアウォールを管理したりするだけではない。企業の持つ情報資産全体をあらゆる脅威から守るための戦略を立案し、経営陣に対して専門的な助言を行い、組織全体のセキュリティ意識を高めるという、極めて経営に近い責任を負う立場である。現代において、サイバー攻撃は単なるシステムトラブルではなく、企業の事業継続を脅かす重大な経営リスクだ。例えば、ランサムウェア攻撃を受ければ工場の生産ラインが停止し、巨額の損失が発生する可能性がある。また、顧客の個人情報が漏洩すれば、企業のブランドイメージは大きく損なわれ、多額の損害賠償を請求される事態にもなりかねない。こうしたリスクを管理し、ビジネスを安全に成長させるために、CISOの知見は不可欠なはずである。しかし、調査結果が示す現実は、CISOが経営の重要な議論の場から遠ざけられているというものだ。セキュリティ対策は後付けで検討されたり、コスト削減の対象とされたりすることが多く、その専門的な意見が十分に反映されていないのが実情である。なぜこのような状況が生まれるのか。原因は大きく分けて二つ考えられる。一つは、経営層のサイバーセキュリティに対する理解不足である。経営陣の中には、セキュリティを未だに「情報システム部門が対応すべき技術的な問題」と捉え、ビジネス戦略とは切り離して考えているケースが少なくない。その結果、CISOは経営会議に呼ばれず、技術的な報告を求められるだけの存在になってしまう。もう一つの原因は、CISO側にも課題がある可能性だ。技術的な脅威について専門用語を多用して説明するだけでは、経営層にはその重要性が伝わりにくい。例えば「新たな脆弱性が発見された」と報告するだけでなく、「この脆弱性を放置すれば、当社の主力製品の顧客データが漏洩し、推定で数億円の損害と深刻な信用の失墜につながるリスクがある」というように、ビジネスへの具体的な影響や金銭的な損失額にまで踏み込んで説明するコミュニケーション能力が求められる。CISOが技術と経営の「翻訳者」としての役割を果たせていない場合、両者の間には深い溝が生まれてしまう。 CISOが企業の重要な意思決定に関与しないままビジネスが進められると、深刻なリスクが生じる。例えば、新しいオンラインサービスを迅速に市場投入することだけを優先し、セキュリティの専門家であるCISOの意見を聞かずに開発を進めた場合を考えてみよう。サービス開始後に重大なセキュリティ上の欠陥（脆弱性）が発見され、ユーザーの個人情報が流出する事件が発生するかもしれない。そうなれば、サービスの停止や改修に多大なコストがかかるだけでなく、失った顧客の信頼を取り戻すのは極めて困難になる。また、企業の合併・買収（M&A）においても、買収先の企業のセキュリティ体制をCISOが十分に評価しないまま契約を進めると、買収後に隠れていたセキュリティ問題が発覚し、想定外の負債を抱え込むことにもなりかねない。このように、ビジネスの初期段階でセキュリティを考慮しない判断は、将来的に何倍ものコストとなって企業に跳ね返ってくるのである。このニュースは、これからシステムエンジニアとしてキャリアを歩む人々にとっても他人事ではない。これからのエンジニアには、プログラミングやインフラ構築といった技術力だけでなく、自身が手掛けるシステムがビジネスにどのような価値をもたらし、同時にどのようなセキュリティリスクを内包しているのかを理解し、説明できる能力がますます重要になる。セキュリティは、開発が終わった後に付け加えるものではなく、設計段階からシステムに組み込むべき品質の一部であるという「セキュリティ・バイ・デザイン」の考え方が主流になりつつある。つまり、開発の最前線にいるエンジニア一人ひとりがセキュリティ意識を持つことが、組織全体の安全性を高める上で不可欠なのだ。将来的にプロジェクトリーダーや管理職、あるいはCISOのような立場を目指すのであれば、技術的な知見をビジネスの言葉に置き換え、経営層と対等に議論できるスキルを磨く必要がある。サイバーセキュリティはもはや一部の専門家の仕事ではなく、ビジネスを動かす全ての人が当事者意識を持つべき課題なのである。今回の調査結果は、その重要性を改めて突きつけるものと言えるだろう。