CISOとは、Chief Information Security Officerの略です 。CISOは、情報セキュリティの総責任者ですが、その役割として期待されていることと、実際の役割にはギャップがあることも多いようです。
企業活動の中で、情報セキュリティの重要性が大きくなり、かつ、情報セキュリティインシデントがビジネスに与えるインパクトが大きくなる中で、新しい役職としてCISOが設けられる企業も増えてきました。
CISOは本来、どんな役割を担うべきものなのでしょうか。
また、企業のセキュリティ担当者の方へ、16問でかんたんにセキュリティスキルが測れるチェックテストを無料で配布しています。気軽に腕試ししてみてください。
CISOとは
CISOはChief Information Security Officerの略です。企業・組織内において情報管理およびその運用を担当し、情報セキュリティを統括する責任者のことを言います。
Officerの名前のとおり役員であることが多いものの、必ずしも日本の会社法上の役員ではなく、非取締役の執行役員・あるいは部長クラスの職員をCISOとしている企業もあり、実態としてはまちまちです。
セキュリティポリシーの策定、情報資産の扱い運用やその監査、コンピュータのセキュリティ対策、機密管理規程の策定、リスク管理、情報漏洩事故の防止などの統括などが仕事とされています。
なお、情報資産とは、狭い意味ではいわゆる「データ」のことであり、紙の書類に記載された情報、HDDやUSBメモリ、SSDに入っている電子データなどデータのすべてを指します。広義では、データの入れ物まで含めて情報資産と呼びます。物理的なストレージも、PCもまたサーバもこれに含まれます。
CISOは情報資産を守り、かつ、情報資産の価値を維持または高めることが仕事の内容です。
ところで、デロイトによると、CISOの役割にはマネジメント的側面と、技術的側面があり、次の通り1人で4つの役割をこなすことが期待されています。
マネジメント的側面
Strategist・・・組織の事業、サイバーリスクに対する戦略を主導し、価値の高い投資によるリスク管理する変革を創造・推進する。
Advisor・・・サイバーセキュリティに対するリスクの観点から事業に対して、教育 / アドバイス / 普及 / 啓発を行う。
技術的側面
Guardian・・・サイバーセキュリティに対する脅威の全体像を理解し、リスクに関するプログラムの有効性を高めることで事業の重要な資産を保護する。
Technologist・・・組織のセキュリティ機能を構築するためのセキュリティ技術及び標準の評価、導入を行う。
非常にCISOの役割は広いと同時に、技術的な専門性と、組織のトップないしリーダーの役割が求められているのですが、どちらかの方に偏りがちな傾向もみられるようです。
CISOの詳しい説明は資料にまとめていますので、ぜひダウンロードしてご覧ください。
JNSAが公開したCISOハンドブックとは
日本では、日本ネットワーク・セキュリティ協会(JNSA)が2018年5月にCISOの役割や業務のあり方などを取りまとめた「CISOハンドブック」を公開し、CISOとは何か、何をすべき人なのか、定義しています。そのうえで、CISOの仕事を支援する内容を盛り込んでいます。
経済産業省は、情報資産をサイバー攻撃などから守るための経営について発行した「サイバーセキュリティ経営ガイドライン」という文書がありますが、これに不足していたCISOの内容を記載したのが「CISOハンドブック」です。
同ハンドブックはCISOの業務を支援するため、CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネス(経営)の基本的な枠組みを整理し、明確にすべき目標と指標を提示しています。さらに施策を評価する判断基準を提供しています。
CISOにとって、より具体的なハンドブックの使い方は次の通りです。
- 経営会議で資料を作る際のひな型をハンドブックから取得する
- 技術担当からCISOになった人がビジネスを理解するために参照する
- セキュリティ経験の少ないCISOがセキュリティ業務を理解するために参照する
- 経営会議で話される業務執行(CISOの役割と責任、業務)の概要を理解するために参照する
- ビジネスに関連付けた計測項目と判断基準の例として
- ビジネスに沿ったセキュリティ計画や事業継続計画の策定の基礎資料として、特に網羅すべき要素が抜けていないかどうかをチェックする。
さらに、「どうやって経営会議で了承を得るか」という観点からの解説があるほか、インシデントの対応を適切かつ遅滞なく実施するためのワークショップに役立つツール群も含まれています。
CISOが必要な理由
まず、セキュリティインシデントの数が非常に多いことが第1の理由として挙げられます。
JPCERTコーディネーションセンター(JPCERT/CC)に寄せられたインシデント(情報システムのセキュリティ上の問題)の報告件数は、2018年の1年間で15,751件でしたが、その後はここ年間20,000件前後で推移しています。今後も増加することが予想されるとともに、サイバー攻撃・マルウェアへの感染・不正アクセスの手口は悪質化しています。
インシデントの被害額や、業務への影響の重大さから、経営問題としても重要なものとなってきていますが、インシデントに専門性をもって対処するCSIRT(情報セキュリティチーム)だけでは経営上の決定ができません。
そこで、役員クラスに情報セキュリティに明るい人材を配置する必要が生じました。サイバー攻撃が激化する中で技術がわかる役員であるCISOへの期待は大きいものがあります。
また、CISOに期待されている大きな役割はリスク管理ですが、今までの財務担当役員・管理担当役員などの管理系業務を統括する役員では技術的なリスクの管理ができないと同時に、リスクの評価もできません。
CISOには、リスク評価において脅威や脆弱性、被害の要素が組織に対するリスクか、顧客に対するものか、あるいは社会に及ぼす影響かを正しく評価することが求められていますが、従来の管理系の業務の役員は必ずしも適任ではありません。
さらに、リスク評価と対策の優先順位付けが行われないと、ツール・セキュリティインフラ・人材等にも適切な投資ができません。こうした投資判断も、従来の役員では難しく、技術がわかっているCISOでないとうまくできないでしょう。
CISOに必要なスキル
では、CISOはどのようなスキルがあればよいのでしょうか。第一に、CISOには技術領域とビジネス領域の双方のスキルが求められます。
時として、セキュリティ対策は、本業の利益を上げるための阻害要因とされてしまうことがあります。なぜビジネスをセキュリティのために犠牲にするのか、と釈明ないし経営会議での報告も必要になります。この際、客観的な情報に基づき、十分説明できるスキルが必要です。
第二に、CISOにはサイバー攻撃によるインシデントをはじめとする課題を、迅速かつ的確に処理する高い課題処理能力が求められます。
さらに、CISOは、メンテナンスによる、業務の休止などのインシデント対応が求められることから適切な意思決定能力が必要です。適切な予算立ても、見通しをもって行うことが求められています。
加えて、CISOは、情報セキュリティ組織の牽引役としてのリーダーシップも求められます。たとえば、インシデントが起こったときは、技術的な問題点に対応するだけではなく、リスク管理・法務・財務・IT・広報など多くの部署の協力により、インシデントレスポンスチームを作る必要があります。
CISOが各部署に対してリーダーシップを発揮しつつ、適切にインシデントの対応にあたる必要があります。
実際にこれだけのスキルをまんべんなく備えることは難しいとも考えられ、新しい役職でもあるため、先ほどご紹介したハンドブックのような資料の助けを借りることや、優秀な補佐役が必要になります。
まとめ
ご説明した通り、CISOは、技術とビジネスの双方に優れ、経営陣・部署間・あるいは、取引先との橋渡しをする一方、情報セキュリティの守りを固め、施策の戦略立案を行うことが期待されています。今後、各社の課題は、社内でスキルを十分に備えたCISOを養成することと考えられます。
まずはかんたん腕試ししましょう。