--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [CISOが経営変革を推進するための「3つの役割」](https://atmarkit.itmedia.co.jp/ait/articles/2508/21/news134.html)【＠IT】(2025年08月22日) --- > [!NOTE] この記事の要約（箇条書き） - Gartnerは2025年7月開催の「セキュリティ＆リスク・マネジメント サミット」で、CISOの戦略的役割として以下の3つを提言しました。 - **ミッションとの整合:** サイバーセキュリティ施策を組織目標と結び付け、成果主導の評価指標（ODM）や保護レベル合意（PLA）を活用し、経営層との合意形成を促進します。 - **イノベーションへの備え:** AIを積極的にセキュリティ領域に適用し、チームのAIリテラシー育成、実験的活用、データ保持ポリシー改訂、リスク評価、規制順守監査を通じて、AI投資の成果を保護します。 - **変化への柔軟性:** AIの普及によるアタックサーフェスの拡大や内部脅威を理解し、ハイプに惑わされず自社の状況に合わせて動向を見極め、変革のエネルギーとして活用します。 - CISOは、セキュリティをコストではなく投資と捉え、技術革新をリスクではなく機会に変える経営変革の推進役となることが求められます。 - 従業員の不安や抵抗感に配慮し、主体的に業務に関われる環境を整備することも重要です。 > [!NOTE] 要約おわり --- ## CISOが経営変革を推進するための「3つの役割」：技術革新をリスクではなく機会に Gartnerは2025年7月23～25日に開催した「セキュリティ＆リスク・マネジメント サミット」を通じてCISOの戦略的役割を提言。ハイプを企業成長に有効活用するための3つの役割を示した。 » 2025年08月21日 19時10分 公開 \[＠IT\] この記事は会員限定です。 会員登録（無料） すると全てご覧いただけます。 　生成AI（人工知能）をはじめ新技術への期待が膨らむ中、企業は競争優位性確保を目的に積極的にIT投資を行っている。だが同時に、サイバー攻撃が年々高度化している現在、新技術ゆえのセキュリティリスクも懸念されている。経営環境変化が速い現在、技術を進んで取り入れるスタンスは重要だが、ハイプの波にいたずらに影響されることなく、「自社にとって適切か否か」を冷静に判断することが不可欠だ。そうした中、CISO（最高情報セキュリティ責任者）にはどのような視点、役割が求められるのか。 　Gartnerは2025年7月23～25日に「セキュリティ＆リスク・マネジメント サミット」を開催。23日のオープニング基調講演に登壇したGartner バイスプレジデントアナリストのリチャード・アディスコット氏とマーク・ホーヴァス氏は、「ミッションとの整合」「イノベーションへの備え」「変化への柔軟性」というCISOの戦略的役割を提言した。 ## ハイプ（過度な期待）を企業成長に有効活用するためには 　両者は、組織が直面する不確実な環境を踏まえ、「ハイプを活用して実質的な変革を推進する」必要があるとして、CISOの3つの役割を解説した。 　1つは「ミッションとの整合」だ。CISOはサイバーセキュリティ施策を組織目標と結び付けて説明する責務があるが、成果主導の評価指標となるODM（Outcome-Driven Metrics）を導入し、リスクと保護レベルを可視化することで、経営層との合意形成を容易にすることを推奨している。ODMの確立後には保護レベル合意（PLA：Protection Level Agreement）を活用することで、適切な保護レベルと投資のバランスを取り、ハイプに振り回されない意思決定を促す。 　2つ目は「イノベーションへの備え」だ。この点についてはAIを積極的にセキュリティ領域に適用することが重要だ。CISOは自身を含むチームのAIリテラシーの育成、コード解析、脅威ハンティング／脅威モデリング、ユーザーの振る舞い分析などでの実験的な活用を推進するべきだという。併せて、データ保持ポリシーの改訂、カスタム構築された生成AIに対する包括的なリスク評価、規制順守監査を実施するなど、生成AI活用の安全性を担保することで、AI投資の成果を保護できるとしている。 　3つ目の「変化への柔軟性」については、AIの普及がもたらすアタックサーフェス（攻撃対象領域）の拡大や内部脅威などを理解した上で対応する必要性を示した。単にハイプに追随したり、惑わされたりすることなく、変革のエネルギーとして生かせるよう、自社の状況に照らして動向を読み解き、真に必要な要素を見極める視点が求められるとしている。 ## 技術革新をリスクではなく機会に変える 　セキュリティ領域では「安全性と利便性をどう両立するか」といった恒久的なテーマがある。実際、CISOには経営層、現場層から相反する要請が寄せられることもあるが、「ハイプの流れを学習することで、自身のチームやビジネス部門への影響を先読みできるようになる」とし、継続的な取り組みの重要性を訴えている。 　一方で、従業員が抱える不安や抵抗感に配慮し、主体的に業務に関われる環境を整備することも重要だという。自動化や新たなスキル習得に挑戦できる風土を築くことは、従業員と組織の成長、発展につながる。今、組織にはセキュリティ対策をコストではなく投資とし、技術革新をリスクではなく機会とするスタンスが求められているが、こうした提言からは、CISOが単なるリスク管理者ではなく、経営変革の推進役であることが改めてうかがえる。 ### 関連記事 - [ シャドーAI問題への対処による安全なイノベーションの確保](https://atmarkit.itmedia.co.jp/ait/articles/2508/08/news002.html) - [ 日本企業の92％が「AIを悪用した攻撃への対策ができていない」と回答　アクセンチュアが調査結果を発表](https://atmarkit.itmedia.co.jp/ait/articles/2507/31/news029.html) - [ 普通の組織で「脆弱性管理」を始めるには？　日本シーサート協議会WGが解説する4つのステップ](https://atmarkit.itmedia.co.jp/ait/articles/2507/11/news013.html) ### 関連リンク - [Gartner、高まる期待と注目を背景に、CISOが注力すべき戦略的重点領域を明らかに](https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20250723-srm-opkn) Special PR [印刷／保存](https://id.itmedia.co.jp/isentry/contents?sc=0c1c43111448b131d65b3b380041de26f2edd6264ee1c371184f54d26ab53365&lc=7d7179c146d0d6af4ebd304ab799a718fe949a8dcd660cd6d12fb97915f9ab0a&return_url=https://ids.itmedia.co.jp/print/ait/articles/2508/21/news134.html&encoding=shift_jis&ac=e8cb9106baa7e37eb9feb877b9f0a27ddaf48b95ba02da49cbb3a8247ee7fec4&cr=e9fd42802bc22856808963077023568339063544b05e5a8646e62c02a898e0fd "この記事を印刷する") ## アイティメディアからのお知らせ - [キャリア採用の応募を受け付けています](https://hrmos.co/pages/itmedia/jobs?jobType=FULL) スポンサーからのお知らせ PR Special PR **本日** **月間** 編集部からのお知らせ [【Amazonギフトカード プレゼント】9月3～4日開催【無料オンラインセミナー】『＠IT Operator Live 2025 夏　目まぐるしく変わる「不安の時代」に、ビジネスを安定稼働させるには』GMOペパボ SUZURI事業部 事業部CTO 黒瀧悠太氏による【基調講演　GMOペパボのSUZURIを支えるAIOpsの実践】、運用設計ラボ シニアアーキテクト 波田野裕一氏による【基調講演　レジリエントな運用を実現する「運用エンジニアリング」】などを配信](https://rd.itmedia.co.jp/8AUU#utm_source=ait&utm_content=rightcolumn_info) あなたにおすすめの記事 PR