ゼロトラストに移行するための5つのフェーズにおける、CISOの役割と経営的責任：働き方改革時代の「ゼロトラスト」セキュリティ（23）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストとCISOについて解説する。

[仲上竜太，ニューリジェンセキュリティ]

　相次ぐランサムウェア攻撃による被害やDDoSによるサービスの妨害、執拗（しつよう）な標的型攻撃など、社会におけるデジタルの利活用の場面が増えるとともにサイバーセキュリティの重要性が再認識されています。

　従来、事業推進や組織の活動においてコストと考えられてきたサイバーセキュリティは、デジタルの上に積み上げた情報資産や事業環境を守り抜くために必要な投資の一部と考えられるようになりつつあります。

　組織の経営に目を向けると、CIO（最高情報責任者）、CTO（最高技術責任者）といった情報システムやテクノロジーを経営に活用するリーダーシップとともに、デジタルの積極的な活用による事業改革を担うCDO（最高デジタル責任者）／CDXO（最高DX《デジタルトランスフォーメーション》責任者）、情報漏えい対策やセキュリティ対策の司令塔となるCSO（最高セキュリティ責任者）／CISO（最高情報セキュリティ責任者）といった経営責任領域が生まれています。

　特にCSO／CISOの意思決定が及ぶ領域では、テレワークやクラウドの活用といったデジタルワークプレースの急激な変革とともに激化するサイバー攻撃への対応が求められる状況となり、急速に重要度が増しています。

　多くの企業が採用を進めるゼロトラストは、急速に変化した環境の中で質的変化が起こったサイバー脅威の環境に対し、アイデンティティーの集約と認証、認可の徹底によってデータとデジタル環境の安全を維持する仕組みとして注目されており、これらの導入決定や推進にもCSO／CISOの経験や判断が欠かせません。

　デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回から、ゼロトラストの長い航海を成功に導くクルーともいえる人材やチームについて考えます。今回は、ゼロトラストへ移行するためのステップごとに求められる人材の中で、CISOと経営的責任について考えます。

ゼロトラストに移行する5つのフェーズ

　2022年7月にIPA（情報処理推進機構）が公開したレポート「ゼロトラスト移行のすゝめ」では、企業や組織がゼロトラストに移行するための5つのフェーズを紹介しています。

ゼロトラスト構成へ移行するための全体的な流れ（IPA「ゼロトラストのすゝめ」p17 図2-1から引用）

　ゼロトラストの導入ステップについてはさまざまなホワイトペーパーやドキュメントで議論されていますが、IPAの示すフェーズでは、ゼロトラストの考え方を企業や組織のセキュリティに適用するために行うべき活動が端的に整理されています。

　この導入ステップでは、現在採用されているセキュリティの考え方から組織のセキュリティをゼロトラストにシフトするために、現状の分析とありたい姿の検討から始まり、計画の作成、投資判断、環境構築と検証改善の繰り返しへと進んでいきます。

　この導入ステップをモデルとして、ゼロトラストを導入する際にどのような人材が必要となるのかを考えてみます。

経営責任としてのサイバーセキュリティとCISO