CISO考――ところで、CISOって必要ですか?:セキュリティ、そろそろ本音で語らないか(3)(1/3 ページ)
CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)
情報セキュリティ対策を組織的に推進するためには、CISOなる人物が必要であり、欧米の大企業には必ず優秀なCISOがいる、と聞くことが多くありませんか? このCISOってなんでしょうか?
CISOは「Chief Information Security Officer」の頭文字を取ったものとされていて、情報化推進統括責任者、あるいは、情報セキュリティ統括担当役員、情報セキュリティ最高責任者などと一般的に訳されているようです。
今回CISOについて意見を述べますが、一般的にいわれている内容ではないため、前回に引き続き多数のおしかりを受けることになると思いますが、いろいろな意見を許容する文化になってほしいとの願いを込めてあえて意見を述べさせていただきます。
CISOの役割とは
一般的にCISOの役割とは、以下のようにいわれています。
- 情報セキュリティ戦略の立案
- リスクの認識と対策の推進
- インシデント発生時における意思決定
- PDCA活動の監督と推進
定義する専門家によっては、経営者と現場の調整業務、各部署間の調整業務なども役割とされることもあります。
では、そもそもなぜCISOなる役割が必要となったのでしょうか。これは私の個人的な考えですが、CISOは情報セキュリティ業界が考え出したのではないか、と思っています。Webサイト改ざんやウイルスの脅威を語っていた業界が、もっと経営層が意識しないといけない、といい始めた時期がありました。情報セキュリティ事故の6割以上が内部犯行である、という数字がひとり歩きし始めたのもこのころでした。
そして、情報セキュリティに責任を持つ役員が必要だ、という論理展開になり、CISOあるいはCSO(Chief Security Officer)必要論になっていったように記憶しています。CISOとCIO(Chief Information Officer)、CSOがごちゃごちゃに使われていた時期もありました。
CISOに必要なスキル
CISOの役割は先ほど述べましたが、では、そのCISOに必要なスキルにはどんなものがあるのでしょうか? 一般的にいわれているスキルを列挙してみましょう。
- 情報セキュリティ関連技術に明るいこと
- インシデント発生時の的確な判断力
- 組織を横断的に動かす調整能力に優れていること
- 経営者の一員として発言力があること
- 情報セキュリティ対策を経営戦略の一環として立案・推進できること
- 社内、社外に有能な人物とのコネクションがあり、いざというときに活用できるようにコミュニケーションが取れていること
- プライベートよりも仕事を優先して、いつでも駆けつけられるように常日ごろから準備ができていること
- リスクを事前に察する勘が優れていること
- 経験が豊富で未経験の事態が起こっても、的確な判断ができること
- 情報公開を的確に指示でき、自らが広報官になれること
- 不眠不休に強いこと
:
ほかにもいろいろあると思いますが、いかがですか、こんなヒトいますか? もしこんな優れた人物がいたら、私が社長なら副社長か営業本部長にします(キッパリ)。つまり、あり得ない人物像をつくり上げているのです。
少なくともCISOを名乗っている人物で上記に該当する人物は過去に1人しか知りません。その方はいまでは大きな会社の社長になっています(本当です)。さらに付け加えると、上記のような人物は「教育」では容易に育てることはできません。なぜなら、本人の素養が大きく影響するからです。経営者教育のようなものです。
もし、本当に情報セキュリティ対策を普及させたいなら、もっと現実的なソリューションを提示すべきではないでしょうか。
仮にCISOがいたとしてその人物は専任でしょうか。前述の役割を果たすとすれば間違いなく専任でないと無理でしょう。しかも何人か部下がいて組織化されている必要があります。何万人も社員がいる会社であれば対応可能でしょう。しかし、多くの企業ではこのような優秀な人物を専任で置くことは困難です。
CISOの弊害
前述のような本当に優秀なCISOがいて、それを雇用し活用できる企業ならば問題ありませんが、少しでもスキル不足があったらどうなるでしょうか。私がいままでに相談を受けた数多くの企業では以下のような問題がありました。
- 情報セキュリティを最優先にしすぎて、社内業務に支障をきたす
- 中途半端な知識で現場を混乱させる
- 教育やマネジメントばかり考えて、対策は「禁止ルール」ばかり
- いざというときに「何もやってないではまずいから、何か対策をしていたことにしておけばいい」という、責任回避ばかりを考えている
- 部署間の調整能力がなくて、実際の活動は「メールによる通達」だけ
これらはCISO本人だけの問題ではなく、組織全体の問題も多く含まれています。縦割り意識が強い会社では、他部署からの指図は極端に嫌われますし、まして社内監査など拒否反応が強く出るのはごく当たり前のことです。
各組織には役割があり、その上長にはノルマや評価があるので、それ以外のことを「必要ですから」といわれても必要には考えないのが普通です。
つまり、CISOという人物と組織をなまじ置いても機能しないばかりか、対策に偏りが出たり、対策が不十分になったりすることの方が多いのです。CISOを置けばいい、という形にとらわれずに、そもそも情報セキュリティ対策を推進するにはどういう組織にすればいいのか、という根本的なことを自分たちで考えないといけないのです。
Copyright © ITmedia, Inc. All Rights Reserved.