検索
連載

CISO考――ところで、CISOって必要ですか?セキュリティ、そろそろ本音で語らないか(3)(2/3 ページ)

CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

CISOより「CSO」を

 私の記憶ではCISOがCSOといわれていた時期もありました。これはどういうことかというと「セキュリティ=情報セキュリティ」だった時期があったということです。ところが時は流れ、いまではCSOとCISOは別であることが一般的な認識であると思います。

 特に日本においては地震対策、新型インフルエンザなどの方が関心が高く、リスク管理の対象はこれらに重点が置かれる傾向があります。しかも、食品偽装や金融危機など、事業継続から考えた場合に情報セキュリティよりもはるかにインパクトのある事象が数多く発覚して、情報セキュリティばかりを考える専門役員を設置する機運がますます下がるばかりです。前述のような優秀な人物はCSOとして会社全体のリスク管理を行う必要があります。

 つまり、CISOを設置すると、情報セキュリティリスクとほかのリスク管理とのバランスはCEO(Chief Executive Officer)あるいはCOO(Chief Operating Officer)でしかできなくなってしまうので、CSOの機能の下にすべてのリスク管理を統括した方が経営陣から見ても理解や把握がしやすくなります。役員会で情報セキュリティとパンデミック(感染爆発)の対策のどちらにどれくらい予算を配分すべきか議論するくらいなら、CSOとして調査、判断、調整して役員会で発言すべきです。

 会社としては、新型インフルエンザも地震も各種偽装問題もインサイダー取引も情報セキュリティも労使紛争そのほかのリスクもバランスよく対策を経営戦略の一環としてとらえるべきです。これらを統合して判断できる人物がCSOとして求められています。

 私は上場企業の社長の経験がありますが、社長1人ではリスクの把握と対策戦略などの立案・推進ができるはずもないので、頼れるCSOの役割をする人物は欲しいはずです。しかも、いざというときに的確な判断と各方面への指示ができるのであれば、会社の存亡の危機のときに大きな役割を果たすことでしょう。

 CSOというリスク管理の役割の下にCISO、あるいは情報セキュリティ担当責任者がいればいいのです。

よくあるパターンその1:情報システム部長がCISO

 多くの企業で情報システム部長がCIOを務めています。このこと自体は日本的で問題ないと思いますが、CIOがCISOを兼ねていることが多いです。確かに情報システムというからには、そのセキュリティも情報システム部長が責務を果たすのは自然のように思えます。しかし、内部関係者による情報漏えいへの対策という観点から考えると、これは情報システムだけの問題ではなくなります。

 情報セキュリティ対策を行うには、自動化を推進するのはよいことなのですが、ネットワークの機器だけで対策はできません。従業員教育も必要ですし、入退室や監視カメラの画像の管理、キャビネットなどの器具、備品など物理セキュリティとの融合も考えないといけません。

 従って、情報システム部長がCISOを兼務するのはマネジメント、物理セキュリティの観点から適切ではないといえます。

 しかしながら、多くの情報セキュリティ対策は情報システムに組み込まれている必要があり、個々のサーバやPC、ゲートウェイなどに効率よく配置するためには、情報システム部の役割は大きいのも事実です。

よくあるパターンその2:総務部長がCISO

 情報システム部長がCISOを兼務しないパターンとしては、総務部に情報セキュリティ推進室なるものが設置されるケースもあります。総務部長がCISOを兼務するパターンです。この場合には、マネジメントに力点が置かれる傾向があります。なぜなら、前述のように情報セキュリティ対策は情報システムに多くの防御や検知の仕組みを組み込む必要がありますが、それは「管轄外」だからです。

 従って総務部の管轄である「社員」に対して主な対策が行われるのは、縦割り意識の強い日本においてはごく当たり前の現象といえるでしょう。そして本当にまじめに情報セキュリティマネジメントサイクルをまわそうと考えているのはこの部署です。

 情報システム部、総務部のいずれに情報セキュリティ推進部署を置いても一長一短があります。そのため最近の傾向として、リスク管理室が別の部署として設置されることが多くなってきました。そこであらゆるリスクについて対策が検討され、経営資源の適切な配分が行われるようになってきました。

 ところが、本来果たすべきCISOという言葉や形が誤解されて、実態に問題のある導入がされているケースが多く、残念なことにそのほとんどが早くからまじめに取り組んでいた企業なのです。

Index

CISO考――ところで、CISOって必要ですか?

Page1
CISOの役割とは
CISOに必要なスキル
CISOの弊害

Page2
CISOより「CSO」を
よくあるパターンその1:情報システム部長がCISO
よくあるパターンその2:総務部長がCISO

Page3
すべての管理職にとって“必須”なCISO能力
機能としての“CISO”を管理者全員で分担せよ


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る