CISO考――ところで、CISOって必要ですか?:セキュリティ、そろそろ本音で語らないか(3)(2/3 ページ)
CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)
CISOより「CSO」を
私の記憶ではCISOがCSOといわれていた時期もありました。これはどういうことかというと「セキュリティ=情報セキュリティ」だった時期があったということです。ところが時は流れ、いまではCSOとCISOは別であることが一般的な認識であると思います。
特に日本においては地震対策、新型インフルエンザなどの方が関心が高く、リスク管理の対象はこれらに重点が置かれる傾向があります。しかも、食品偽装や金融危機など、事業継続から考えた場合に情報セキュリティよりもはるかにインパクトのある事象が数多く発覚して、情報セキュリティばかりを考える専門役員を設置する機運がますます下がるばかりです。前述のような優秀な人物はCSOとして会社全体のリスク管理を行う必要があります。
つまり、CISOを設置すると、情報セキュリティリスクとほかのリスク管理とのバランスはCEO(Chief Executive Officer)あるいはCOO(Chief Operating Officer)でしかできなくなってしまうので、CSOの機能の下にすべてのリスク管理を統括した方が経営陣から見ても理解や把握がしやすくなります。役員会で情報セキュリティとパンデミック(感染爆発)の対策のどちらにどれくらい予算を配分すべきか議論するくらいなら、CSOとして調査、判断、調整して役員会で発言すべきです。
会社としては、新型インフルエンザも地震も各種偽装問題もインサイダー取引も情報セキュリティも労使紛争そのほかのリスクもバランスよく対策を経営戦略の一環としてとらえるべきです。これらを統合して判断できる人物がCSOとして求められています。
私は上場企業の社長の経験がありますが、社長1人ではリスクの把握と対策戦略などの立案・推進ができるはずもないので、頼れるCSOの役割をする人物は欲しいはずです。しかも、いざというときに的確な判断と各方面への指示ができるのであれば、会社の存亡の危機のときに大きな役割を果たすことでしょう。
CSOというリスク管理の役割の下にCISO、あるいは情報セキュリティ担当責任者がいればいいのです。
よくあるパターンその1:情報システム部長がCISO
多くの企業で情報システム部長がCIOを務めています。このこと自体は日本的で問題ないと思いますが、CIOがCISOを兼ねていることが多いです。確かに情報システムというからには、そのセキュリティも情報システム部長が責務を果たすのは自然のように思えます。しかし、内部関係者による情報漏えいへの対策という観点から考えると、これは情報システムだけの問題ではなくなります。
情報セキュリティ対策を行うには、自動化を推進するのはよいことなのですが、ネットワークの機器だけで対策はできません。従業員教育も必要ですし、入退室や監視カメラの画像の管理、キャビネットなどの器具、備品など物理セキュリティとの融合も考えないといけません。
従って、情報システム部長がCISOを兼務するのはマネジメント、物理セキュリティの観点から適切ではないといえます。
しかしながら、多くの情報セキュリティ対策は情報システムに組み込まれている必要があり、個々のサーバやPC、ゲートウェイなどに効率よく配置するためには、情報システム部の役割は大きいのも事実です。
よくあるパターンその2:総務部長がCISO
情報システム部長がCISOを兼務しないパターンとしては、総務部に情報セキュリティ推進室なるものが設置されるケースもあります。総務部長がCISOを兼務するパターンです。この場合には、マネジメントに力点が置かれる傾向があります。なぜなら、前述のように情報セキュリティ対策は情報システムに多くの防御や検知の仕組みを組み込む必要がありますが、それは「管轄外」だからです。
従って総務部の管轄である「社員」に対して主な対策が行われるのは、縦割り意識の強い日本においてはごく当たり前の現象といえるでしょう。そして本当にまじめに情報セキュリティマネジメントサイクルをまわそうと考えているのはこの部署です。
情報システム部、総務部のいずれに情報セキュリティ推進部署を置いても一長一短があります。そのため最近の傾向として、リスク管理室が別の部署として設置されることが多くなってきました。そこであらゆるリスクについて対策が検討され、経営資源の適切な配分が行われるようになってきました。
ところが、本来果たすべきCISOという言葉や形が誤解されて、実態に問題のある導入がされているケースが多く、残念なことにそのほとんどが早くからまじめに取り組んでいた企業なのです。
Copyright © ITmedia, Inc. All Rights Reserved.