検索
連載

CISO考――ところで、CISOって必要ですか?セキュリティ、そろそろ本音で語らないか(3)(3/3 ページ)

CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)

Share
Tweet
LINE
Hatena
前のページへ |       

すべての管理職にとって“必須”なCISO能力

 情報セキュリティ責任者はCSO配下に置くべきである、と述べましたが、それだけでは情報セキュリティ対策の推進は困難です。それは先にも述べたような「自分の責任ではない」という部門長がいるからです。しかしながら、問題は部門長ではありません。経営者がそう考えているから、あるいは、経営者が考えていないから、各部門長がそうなっているのです。会社の組織は経営者の考えを映し出す鏡です。

 では縦割り社会をうまく利用してはどうでしょうか。「自分の責任じゃない」から「自分の責任である」に変えるべきです。情報セキュリティ事故を未然に防ぐ努力と、事故発生時の適切な対応はその組織の責務である、という定義をすべきです。簡単にいえば、何か情報セキュリティで問題が起きればあなたの責任ですよ、と経営者が強くいい聞かせればいいのです。

 CSOだCISOだといくらいっても、それだけでは責任の押し付けになってしまい、かえって各自の責任意識を希薄化させてしまいます。

機能としての“CISO”を管理者全員で分担せよ

 現在、ある大企業の研修を企画しているのですが、その会社では情報セキュリティ管理を管理者教育に組み込もうとしています。会社としての情報セキュリティ対策の戦略は危機管理室が立案するが、推進と監督は各部門長に委ねられています。

 つまり、会社としての意思決定を各部門長、そしてその配下の組織の管理者にまで広げて、大きな部門から配下の組織までそれぞれにCISOの役割を分担させようとしています。

 これまで、情報セキュリティの重要性などを社員教育や管理者教育に組み込むケースは多くありましたが、あくまでも教養や道徳程度であるものが多かったように思います。そこからさらに一歩踏み込んで「各自の責務」としての情報セキュリティを明確にしようとする動きです。

 つまり、情報セキュリティは専門家だけに任せるのではなく、自らの問題として処理できることが管理者には求められてきています。例えば、自らの部門の社員がノートパソコンの盗難に遭った場合に、適切に報告したり対応する責任があり、それを怠った場合には管理者としての管理能力が問われる、ということを明確にする必要があります。

 営業本部長といえば「数字をつくればいい」といわれてきましたが、営業社員は社内の情報を持ち出したり、顧客情報を取り扱う機会が最も多く、しかも懇親会や出張などで紛失、盗難の危険性が最も高い部署の1つです。その部署の責任者が情報セキュリティ管理の責任を持つのはごく自然のことでありますが、意識改革が必要であることはいうまでもありません。

 あなたの責任です、と通達だけしてもヒトは動きません。経営者からの説明や説得、CSOの社内ネゴシエーション能力など組織としての力が問われます。これこそが組織の危機管理能力といっていいでしょう。

 今回はCISOについて少し突っ込んだ意見を述べさせてもらいました。組織によってはもっといい実装方法があるはずです。それぞれの組織に適合した運用が行われることを期待しています。

Index

CISO考――ところで、CISOって必要ですか?

Page1
CISOの役割とは
CISOに必要なスキル
CISOの弊害

Page2
CISOより「CSO」を
よくあるパターンその1:情報システム部長がCISO
よくあるパターンその2:総務部長がCISO

Page3
すべての管理職にとって“必須”なCISO能力
機能としての“CISO”を管理者全員で分担せよ


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る