Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

グローバルトップ企業はセキュリティ担当役員を重要視してない

気になる記事がKrebs on Securityに挙がっていました。

f:id:foxcafelate:20181223115058j:plain

A Chief Security Concern for Executive Teams — Krebs on Security

 

KrebsOnSecurityは用のWebサイトを見直し グローバルトップ100企業の 市場価値によって、見つかった 最高情報セキュリティ責任者(CISO)またはチーフセキュリティオフィサー(CSO)を記載されている上位100社のわずか5%に。最高経営責任者のページにCTOが掲載されたのは3分の1強にすぎませんでした。

ナスダック市場の上位50社を構成するハイテク企業の間の現実はさらに驚くべきものでした。彼らのエグゼクティブランクにCTOを挙げているのは半数に満たず、セキュリティの称号を持っている人は3社しか見つかりません でした。

(Krebs on Security記事から引用)※ブラウザの翻訳ツールで機械訳

 

◆キタきつねの所感

ワシントンポスト記者で、著名なセキュリティジャーナリストであるKrebs氏のサイトは、日本でも多くのセキュリティ専門家がウォッチしているサイトだと思います。気になる記事は、彼の元新聞記者らしさがある調査データでした。

グローバル企業上位100社の分析では、CTOが1/3、CSO/CISOは5%しか自社の役員リストとして公開されておらず、ハイテク企業50社においても、CTOが1/2弱、CSO/CISOは6%(3社)だったという調査結果。

記事の中では、実際にCTO/CSO/CISOが存在してないという訳ではないのだろうと推測しています。Linkedin等々で見れば、CTO/CSO/CISOがもっとヒットする事はあるのだと思いますが、企業が対外公開しているWebページに書かれてない事は、つまり、企業側がCTO/CSO/CISOを、重要な役員だと思ってない事を示唆しているという指摘には、納得するものがあります。

この状況が正しいのだとすれば、サイバーセキュリティ対策予算であったり、インシデントの際の重要な経営判断が果たして適切・迅速に行われるのか不安に思います。

 

今回の分析対象を少し見てみます。グローバル上位100社。日本企業はトヨタくらいですが、日本でも著名な企業が並びます。

Apple, Amazon.com, Alphabet, Microsoft, Facebook, Alibaba, Berkshire Hathaway, Tencent Holdings, JPMorgan Chase, ExxonMobil, Johnson & Johnson, Samsung Electronics, Bank of America, ICBC, Royal Dutch Shell, Visa, Wells Fargo, China Construction Bank, Intel, Chevron, Walmart, Nestle, UnitedHealth Group, Cisco Systems, PetroChina, Home Depot, Pfizer, Taiwan Semiconductor. Novartis, Mastercard, Verizon Communications, Toyota Motor, HSBC Holdings, Boeing, AT&T, China Mobile, Oracle, Roche Holding, Citigroup, Procter & Gamble, Anheuser-Busch InBev, Agricultural Bank of China, Ping An Insurance Group, Coca-Cola, Total, AbbVie, Merck & Co., Bank of China, Unilever, DowDuPont, NVIDIA, BP, Walt Disney, Comcast, Kweichow Moutai, Netflix, SAP, Sinopec, PepsiCo, L'Oréal Group,
BHP Billiton, IBM, McDonald's, General Electric, Philip Morris International, 3M, British American Tobacco, Adobe Systems, Novo Nordisk, Medtronic, Amgen, Royal Bank of Canada, Naspers, Siemens, China Merchants Bank, AIA Group, Nike, Honeywell International, Union Pacific, TD Bank Group, Abbott Laboratories, ,Texas Instruments, Banco Santander, Bayer, Altria Group, China Life Insurance, Volkswagen Group, Accenture, Allianz, Broadcom, Booking Holdings, United Parcel Service, United Technologies, Inditex, Rio Tinto, GlaxoSmithKline, Schlumberger, Tata Consultancy Services, Morgan Stanley, Salesforce.com

 

NASDAQの上位50社は、上記と重複する企業もあるので割愛しますが、ハイテク企業でもCTO/CSO/CISOの公開はあまりされてないという事から考えると、CTO/CSO/CISO等の技術的(サイバーセキュリティ)側面よりも、CFO等の経済的側面から企業運営がされていると推測されます。そうした環境下で、CEOが正しい経営判断を常に下せるのか・・・やはり考えるべき所がありそうです。

この・・日本版調査はもっと恐ろしい数字が出てくる気がします。企業がサイバーセキュリティリスクを軽減するために取り組む最初の課題は、役員構成であるというのは日本企業は特に意識すべきと言えそうです。

 

 

更新履歴

  • 2018年12月23日AM(予約投稿)