CISO考――ところで、CISOって必要ですか?:セキュリティ、そろそろ本音で語らないか(3)(3/3 ページ)
CIOやCOOなど、アルファベットで構成される役職が日本でも目立つようになりました。しかしその役割の意味がよく分からないまま、その役職が付いている人もいるのではないでしょうか。第3回では耳にすることの多くなった「CISO」をテーマに、その役割のあるべき姿に迫ります(編集部)
すべての管理職にとって“必須”なCISO能力
情報セキュリティ責任者はCSO配下に置くべきである、と述べましたが、それだけでは情報セキュリティ対策の推進は困難です。それは先にも述べたような「自分の責任ではない」という部門長がいるからです。しかしながら、問題は部門長ではありません。経営者がそう考えているから、あるいは、経営者が考えていないから、各部門長がそうなっているのです。会社の組織は経営者の考えを映し出す鏡です。
では縦割り社会をうまく利用してはどうでしょうか。「自分の責任じゃない」から「自分の責任である」に変えるべきです。情報セキュリティ事故を未然に防ぐ努力と、事故発生時の適切な対応はその組織の責務である、という定義をすべきです。簡単にいえば、何か情報セキュリティで問題が起きればあなたの責任ですよ、と経営者が強くいい聞かせればいいのです。
CSOだCISOだといくらいっても、それだけでは責任の押し付けになってしまい、かえって各自の責任意識を希薄化させてしまいます。
機能としての“CISO”を管理者全員で分担せよ
現在、ある大企業の研修を企画しているのですが、その会社では情報セキュリティ管理を管理者教育に組み込もうとしています。会社としての情報セキュリティ対策の戦略は危機管理室が立案するが、推進と監督は各部門長に委ねられています。
つまり、会社としての意思決定を各部門長、そしてその配下の組織の管理者にまで広げて、大きな部門から配下の組織までそれぞれにCISOの役割を分担させようとしています。
これまで、情報セキュリティの重要性などを社員教育や管理者教育に組み込むケースは多くありましたが、あくまでも教養や道徳程度であるものが多かったように思います。そこからさらに一歩踏み込んで「各自の責務」としての情報セキュリティを明確にしようとする動きです。
つまり、情報セキュリティは専門家だけに任せるのではなく、自らの問題として処理できることが管理者には求められてきています。例えば、自らの部門の社員がノートパソコンの盗難に遭った場合に、適切に報告したり対応する責任があり、それを怠った場合には管理者としての管理能力が問われる、ということを明確にする必要があります。
営業本部長といえば「数字をつくればいい」といわれてきましたが、営業社員は社内の情報を持ち出したり、顧客情報を取り扱う機会が最も多く、しかも懇親会や出張などで紛失、盗難の危険性が最も高い部署の1つです。その部署の責任者が情報セキュリティ管理の責任を持つのはごく自然のことでありますが、意識改革が必要であることはいうまでもありません。
あなたの責任です、と通達だけしてもヒトは動きません。経営者からの説明や説得、CSOの社内ネゴシエーション能力など組織としての力が問われます。これこそが組織の危機管理能力といっていいでしょう。
今回はCISOについて少し突っ込んだ意見を述べさせてもらいました。組織によってはもっといい実装方法があるはずです。それぞれの組織に適合した運用が行われることを期待しています。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.